IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Comment un simple appel téléphonique a permis un piratage à 380 millions de dollars : Clorox accuse son prestataire informatique Cognizant de négligence après qu'il a communiqué des mots de passe à des pirates

Le , par Stéphane le calme
4 commentaires

11PARTAGES

12  0 
Comment un simple appel téléphonique a permis un piratage à 380 millions de dollars :
Clorox accuse son prestataire informatique de négligence après qu'il a communiqué des mots de passe à des pirates

En août 2023, Clorox, géant américain des produits ménagers, subit un cyberassaut d’une ampleur exceptionnelle. Résultat : plusieurs semaines d’arrêt de production, des pertes estimées à plus de 380 millions de dollars, et une réputation ternie. Mais ce qui scandalise aujourd’hui, c’est la cause de la brèche : le service d’assistance informatique (help desk) d’un prestataire a tout simplement transmis les identifiants de connexion à des pirates... qui les ont demandés au téléphone. C'est en tout cas ce que prétend l'entreprise dans la procédure judiciaire qu'elle a entamé : Clorox a déposé une plainte contre Cognizant Technology Solutions, l’un de ses prestataires IT. Ce dernier est accusé de négligence grave, manquements contractuels et fausse représentation.

Le géant américain des produits d'entretien et d'entretien ménager Clorox a intenté une action en justice de 380 millions de dollars contre le fournisseur de services informatiques Cognizant, alléguant que le personnel du service d'assistance de l'entreprise avait communiqué les mots de passe réseau à des cybercriminels qui les avaient simplement demandés par téléphone, sans poser aucune question.

La plainte déposée mardi devant la Cour supérieure du comté d'Alameda comprend des enregistrements de conversations qui révèlent la simplicité stupéfiante de l'attaque d'août 2023, qui a causé 380 millions de dollars de dommages à l'entreprise de biens de consommation.

« Quel est le mot de passe ? » « Welcome... »

La plainte comprend des transcriptions mot pour mot montrant à quel point il était facile pour les pirates d'accéder au réseau de Clorox. Dans un échange qui illustre parfaitement la faille de sécurité, un cybercriminel a simplement déclaré qu'il ne pouvait pas se connecter sans mot de passe.

« Je n'ai pas de mot de passe, donc je ne peux pas me connecter », a déclaré le pirate.

« Oh, d'accord. D'accord. Je vais vous donner le mot de passe, d'accord ? » a immédiatement répondu l'agent de Cognizant, avant de lui communiquer le mot de passe commençant par « Welcome... ».

Ce schéma s'est répété tout au long de la journée du 11 août 2023, les cybercriminels réussissant à obtenir la réinitialisation des mots de passe, la réinitialisation de l'authentification multifactorielle et même la modification des numéros de téléphone pour l'authentification par SMS, le tout sans fournir de numéros d'identification d'employés, de noms de responsables ou toute autre vérification.

« La violation n'a pas été causée par un logiciel malveillant ou une faille zero-day, mais par l'absence de vérification élémentaire », a déclaré Sanchit Vir Gogia, analyste en chef chez Greyhound Research. « Les entreprises ne doivent plus assimiler l'externalisation à une abdication. »

Citation Envoyé par extrait de la plainte
Depuis plus d'une décennie, Clorox a confié à Cognizant, leader autoproclamé des services numériques et de cybersécurité, des rôles essentiels dans son environnement informatique. L'une de ces tâches était aussi cruciale que fondamentale : Cognizant a aidé à protéger la porte d'entrée.

Cognizant a mis en place un service d'assistance (« Service Desk ») auquel les employés de Clorox pouvaient s'adresser lorsqu'ils avaient besoin d'aide pour récupérer ou réinitialiser leur mot de passe. Le fonctionnement du Service Desk de Cognizant était soumis à une exigence simple et logique : ne jamais réinitialiser les identifiants d'un utilisateur sans l'avoir préalablement authentifié. Clorox a facilité la tâche de Cognizant en lui fournissant des procédures simples à suivre pour toute demande d'aide à la récupération ou à la réinitialisation d'identifiants.

Bien qu'elle ait assuré à Clorox qu'elle respectait ces procédures, la conduite de Cognizant le 11 août 2023 a démontré de manière spectaculaire qu'elle ne le faisait pas. Cognizant a à plusieurs reprises donné à un cybercriminel l'accès au réseau de Clorox en lui remettant des identifiants sans les authentifier correctement ni suivre la procédure de Clorox.

Les défaillances de Cognizant ont entraîné une cyberattaque catastrophique contre Clorox (« cyberattaque »).

Cognizant n'a pas été victime d'une ruse élaborée ni de techniques de piratage sophistiquées. Le cybercriminel a simplement appelé le service d'assistance de Cognizant, demandé les identifiants pour accéder au réseau de Clorox, et Cognizant les lui a fournis sans hésiter. Cognizant a été enregistré en train de remettre les clés du réseau d'entreprise de Clorox au cybercriminel, sans poser aucune question d'authentification :
  • Cybercriminel : Je n'ai pas de mot de passe, je ne peux donc pas me connecter.
  • Agent Cognizant : Oh, d'accord. D'accord. Je vais vous donner le mot de passe, d'accord ?
  • Cybercriminel : D'accord. Oui. C'est quoi le mot de passe ?
  • Agent Cognizant : Un instant. Il commence par le mot « Welcome... »

Le cybercriminel a ensuite utilisé ces identifiants, ainsi que d'autres obtenus le même jour lors d'appels similaires au service d'assistance, pour attaquer Clorox.

La cyberattaque qui en a résulté a été dévastatrice. Elle a paralysé le réseau d'entreprise de Clorox et paralysé ses activités commerciales. Pour ne rien arranger, lorsque Clorox a fait appel à Cognizant pour fournir des services d'intervention en cas d'incident et de reprise après sinistre, Cognizant a bâclé sa réponse et aggravé les dommages qu'il avait déjà causés.
Chronologie des événements

14 août 2023 – Clorox détecte une activité inhabituelle sur ses systèmes informatiques, ce qui l'incite à prendre des mesures immédiates. L'entreprise met hors ligne les systèmes concernés afin d'empêcher tout nouvel accès non autorisé. Les forces de l'ordre sont également sollicitées pour enquêter sur cette violation, soulignant la gravité de la situation.

17 août 2023 – Trois jours après la détection initiale, Clorox a activé ses plans de continuité des activités. Cela impliquait le retour à des processus manuels pour le traitement des commandes et la communication avec les clients. L'entreprise a informé sa clientèle qu'un retour complet à des niveaux de service normaux prendrait un certain temps, sans préciser combien.

5 septembre 2023 – Près d'un mois après le début de la crise, Clorox a mis en place une solution provisoire permettant le traitement manuel des commandes et des expéditions. Les activités de production ont repris et l'entreprise a maintenu une communication constante avec ses clients afin de répondre à leurs besoins et préoccupations immédiats.

18 septembre 2023 – Malgré les efforts déployés pour gérer la crise, les perturbations opérationnelles se sont poursuivies. Clorox a dû réduire ses capacités de traitement des commandes, ce qui a entraîné une diminution de la disponibilité des produits dans les points de vente au détail. Cette période a marqué un tournant critique dans l'incident, l'entreprise reconnaissant les difficultés persistantes pour rétablir le fonctionnement normal.

29 septembre 2023 – Tous les sites de production ont été déclarés à nouveau opérationnels et Clorox a entamé le processus de transition vers le traitement automatisé des commandes. Cependant, l'entreprise a également révélé que l'incident avait eu un impact significatif sur ses résultats financiers du premier trimestre de cette année-là, signalant les conséquences à long terme de la cyberattaque.


Une attaque attribuée à des spécialistes en ingénierie sociale

La cyberattaque de 2023 a été attribuée à Scattered Spider, un groupe cybercriminel connu pour ses campagnes sophistiquées d'ingénierie sociale ciblant les services d'assistance informatique. Cependant, dans ce cas précis, les attaquants ont réussi à atteindre leur but grâce à des tactiques remarquablement basiques plutôt qu'à des méthodes techniques avancées.

« Le succès de Scattered Spider avec un simple appel "veuillez réinitialiser mon mot de passe" confirme que les acteurs malveillants essaieront toujours d'abord l'ingénierie sociale la moins coûteuse et ne passeront au clonage vocal ou aux deepfakes que si les astuces simples échouent », a déclaré Prabhjyot Kaur, analyste senior chez Everest Group.

Le dossier judiciaire détaille comment les attaquants ont utilisé des approches identiques pour compromettre systématiquement les comptes de plusieurs employés de Clorox. Après avoir obtenu un accès initial grâce aux identifiants d'un employé, ils ont rappelé plusieurs fois le même jour pour réinitialiser les identifiants MFA de ce même employé, les agents de Cognizant se conformant à chaque fois sans remettre en question ce comportement inhabituel.

Réaction de Cognizant : « Ce n’est pas notre faute »

De son côté, Cognizant rejette toute responsabilité. L’entreprise affirme qu’elle n’était pas en charge de la sécurité globale de Clorox, mais uniquement de certaines fonctions de support technique. Elle soutient que les engagements contractuels ont été « raisonnablement remplis », et que Clorox reste responsable de la surveillance de ses comptes et de ses employés.

Une agence de relations publiques représentant Cognizant a déclaré : « Il est choquant qu'une entreprise de la taille de Clorox ait eu un système de cybersécurité interne aussi inefficace pour atténuer cette attaque. Clorox a tenté de nous rendre responsables de ces défaillances, mais la réalité est que Clorox a engagé Cognizant pour une gamme restreinte de services d'assistance technique que Cognizant a raisonnablement fournis. Cognizant n'a pas géré la cybersécurité pour Clorox. »

Cette défense pourrait toutefois être difficile à tenir si la justice établit que Cognizant a facilité l’accès initial des pirates, et n’a pas respecté les pratiques minimales d’authentification.

Échecs systématiques de la formation malgré les assurances

Les failles de sécurité se sont produites malgré le fait que Clorox ait mis en place des procédures complètes spécialement conçues pour prévenir de telles attaques, ajoute la plainte. Celle-ci précise également que le responsable du service d'assistance interne de Clorox tenait des réunions hebdomadaires avec les chefs d'équipe de Cognizant et demandait à plusieurs reprises la confirmation que les procédures de sécurité mises à jour avaient été mises en œuvre.

En février 2023, un responsable du service d'assistance de Cognizant a confirmé la fin de la formation en indiquant « Formation de l'équipe ». Cependant, l'attaque d'août a révélé que ces assurances étaient fausses.

« La cyberattaque a révélé que tout cela n'était qu'un mensonge dévastateur », indique la plainte. « Si Cognizant avait correctement formé son personnel du service d'assistance aux politiques et procédures de Clorox ou aux normes de base du secteur, la cyberattaque n'aurait jamais eu lieu. »

Au-delà de la violation initiale, les défaillances de Cognizant se sont poursuivies pendant la réponse à l'incident. Lorsque Clorox a détecté l'intrusion dans les trois heures, le procès allègue que Cognizant a mis plus d'une heure pour réinstaller un outil de cybersécurité essentiel qui aurait dû prendre 15 minutes, et a fourni des listes d'adresses IP incorrectes qui ont entraîné un retard de huit heures dans les mesures de confinement.

« La cyberattaque a contraint Clorox à mettre ses systèmes hors ligne, à suspendre sa production et à recourir au traitement manuel des commandes pendant plusieurs semaines », indique le communiqué. La cyberattaque a causé à Clorox environ 380 millions de dollars de dommages, dont plus de 49 millions de dollars en coûts de réparation et « des centaines de millions de dollars en pertes liées à l'interruption de ses activités », selon la plainte.

Source : plainte

Et vous ?

Quelle lecture faites-vous de cette situation ?

Que pensez-vous de la réaction de Cognizant ?

Peut-on encore confier des fonctions critiques à des prestataires sans un audit opérationnel régulier ?

Les contrats d’externalisation IT prévoient-ils des clauses suffisamment strictes pour encadrer la cybersécurité ?

À quel point un donneur d’ordre peut-il être tenu responsable des failles de son sous-traitant ?
Vous avez lu gratuitement 177 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

4 commentaires
Commenter Signaler un problème
GLDavid
Avatar de GLDavid
Expert confirmé https://www.developpez.com
Le 25/07/2025 à 7:49
Bonjour

Les entreprises délèguent de plus en plus les fonctions support et maintenance à des entreprises comme Cognizant et autres SSII.
Or, le support/maintenance inclut aussi la gestion des groupes et utilisateurs. Comme des sociétés comme Cognizant ont leurs centres opérationnels en Inde, ça recrute forcément des jeunes à vils prix. Il y a un turn-over démentiel dans ces boîtes et ce sont donc les jeunes qui sont mis au front. Résultat, tu te retrouves à gérer les comptes utilisateurs avec une fonction admin alors que la politique de sécurité du client ne t'a pas été transmise.
C'est tout un modèle à revoir ! Il n'y a pas si longtemps, les entreprises disposaient de leur propre département IT et géraient par elles-même. Maintenant les départements IT se résument à des décisionnaires qui cherchent à rentabiliser ou à réduire les dépenses de leurs départements.
Petite histoire perso: j'ai travaillé avec une consultante Europe de Cognizant. Ils sont très agressifs en terme de prix mais aussi toxiques dans le travail. Une vraie Nemesis ! Là où je m'arrachais les cheveux pour tenir les délais que l'on avait fixé avec le client, elle se contentait de donner une deadline 'grosse maille' dans 6 mois ou plus.

@++
4  0 
marsupial
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 25/07/2025 à 8:25
En France, les grands groupes à ma connaissance n'externalisent pas. Pour les ETI et PME, aux moyens moins conséquents, par contre peuvent mutualiser leurs services IT. Avec les nouvelles lois résilience et transposition de NIS2 et DORA, je pense que c'est un bon moyen de tendre vers une sécurisation plus résiliente. Un DSI-RSSI avec une équipe de 10-12 personnes pour une dizaine de PME doit être envisageable. Il se trouve beaucoup de sociétés en France spécialisées dans l'administration de SI qui ne demandent que cela : je ne parle pas des grosses ESN, mais de PME dont il s'agit de la spécialité.

Quelle lecture faites-vous de cette situation ?
Quel prestataire IT digne de ce nom communique le mot de passe admin comme ça au téléphone ? Pas très sérieux...
3  0 
Fagus
Avatar de Fagus
Membre expert https://www.developpez.com
Le 25/07/2025 à 13:20
« Si Cognizant avait correctement formé son personnel du service d'assistance aux politiques et procédures de Clorox ou aux normes de base du secteur, la cyberattaque n'aurait jamais eu lieu. »
Mais bien sûr

J'ai fait l’accréditation récemment. Toute l'équipe a bien son papier de validation des 36 cycles des formations en ligne des bonne pratiques de sécurité (des vidéos affreusement longues et ennuyeuses qui s'interrompent avec des QCM pour vérifier qu'on écoute).

Résultat : tout le monde quitte son poste en laissant les sessions ouvertes dans un site accessible au public. Les mots de passe sont la seule authentification et le même mot de passe court est utilisé pour tous les systèmes (ça j'y peux rien). Les mots de passe sont écrits sur les murs.
Bien sûr on peut réinitialiser n'importe quoi en appelant le Helpdesk sans aucune authentification (j'ai testé, le helpdesk authentifie les gens en posant la question "vous êtes bien nom + pénom ?" avant même qu'on lui donne une identité).

À mon avis il faut arrêter avec les mots de passe et utiliser des tokens bien gérés. C'est beaucoup plus cher, mais les mots de passe c'est pas pour les humains.
0  0 
totozor
Avatar de totozor
Expert confirmé https://www.developpez.com
Le 25/07/2025 à 13:21
Citation Envoyé par marsupial Voir le message
En France, les grands groupes à ma connaissance n'externalisent pas.
J'en discutais avec quelques potes récemment, ce que l'on constate est qu'on passe d'un service externaliser à un service internalisé en Offshore via le rachat d'une boite de presta. Ce qui ne nous rassurait pas beaucoup.
En gros on était 4/5 à constater ça sur une fourchette de -5/+2 ans.
0  0