IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Comment un simple appel téléphonique a permis un piratage à 380 millions de dollars : Clorox accuse son prestataire informatique Cognizant de négligence après qu'il a communiqué des mots de passe à des pirates

Le , par Stéphane le calme
5 commentaires

139PARTAGES

13  0 
En août 2023, Clorox, géant américain des produits ménagers, subit un cyberassaut d’une ampleur exceptionnelle. Résultat : plusieurs semaines d’arrêt de production, des pertes estimées à plus de 380 millions de dollars, et une réputation ternie. Mais ce qui scandalise aujourd’hui, c’est la cause de la brèche : le service d’assistance informatique (help desk) d’un prestataire a tout simplement transmis les identifiants de connexion à des pirates... qui les ont demandés au téléphone. C'est en tout cas ce que prétend l'entreprise dans la procédure judiciaire qu'elle a entamé : Clorox a déposé une plainte contre Cognizant Technology Solutions, l’un de ses prestataires IT. Ce dernier est accusé de négligence grave, manquements contractuels et fausse représentation.

Le géant américain des produits d'entretien et d'entretien ménager Clorox a intenté une action en justice de 380 millions de dollars contre le fournisseur de services informatiques Cognizant, alléguant que le personnel du service d'assistance de l'entreprise avait communiqué les mots de passe réseau à des cybercriminels qui les avaient simplement demandés par téléphone, sans poser aucune question.

La plainte déposée mardi devant la Cour supérieure du comté d'Alameda comprend des enregistrements de conversations qui révèlent la simplicité stupéfiante de l'attaque d'août 2023, qui a causé 380 millions de dollars de dommages à l'entreprise de biens de consommation.

« Quel est le mot de passe ? » « Welcome... »

La plainte comprend des transcriptions mot pour mot montrant à quel point il était facile pour les pirates d'accéder au réseau de Clorox. Dans un échange qui illustre parfaitement la faille de sécurité, un cybercriminel a simplement déclaré qu'il ne pouvait pas se connecter sans mot de passe.

« Je n'ai pas de mot de passe, donc je ne peux pas me connecter », a déclaré le pirate.

« Oh, d'accord. D'accord. Je vais vous donner le mot de passe, d'accord ? » a immédiatement répondu l'agent de Cognizant, avant de lui communiquer le mot de passe commençant par « Welcome... ».

Ce schéma s'est répété tout au long de la journée du 11 août 2023, les cybercriminels réussissant à obtenir la réinitialisation des mots de passe, la réinitialisation de l'authentification multifactorielle et même la modification des numéros de téléphone pour l'authentification par SMS, le tout sans fournir de numéros d'identification d'employés, de noms de responsables ou toute autre vérification.

« La violation n'a pas été causée par un logiciel malveillant ou une faille zero-day, mais par l'absence de vérification élémentaire », a déclaré Sanchit Vir Gogia, analyste en chef chez Greyhound Research. « Les entreprises ne doivent plus assimiler l'externalisation à une abdication. »

[QUOTE=extrait de la plainte]Depuis plus d'une décennie, Clorox a confié à Cognizant, leader autoproclamé des services numériques et de cybersécurité, des rôles essentiels dans son environnement informatique. L'une de ces tâches était aussi cruciale que fondamentale : Cognizant a aidé à protéger la porte d'entrée.

Cognizant a mis en place un service d'assistance (« Service Desk ») auquel les employés de Clorox pouvaient s'adresser lorsqu'ils avaient besoin d'aide pour récupérer ou réinitialiser leur mot de passe. Le fonctionnement du Service Desk de Cognizant était soumis à une exigence simple et logique : ne jamais réinitialiser les identifiants d'un utilisateur sans l'avoir préalablement authentifié. Clorox a facilité la tâche de Cognizant en lui fournissant des procédures simples à suivre pour toute demande d'aide à la récupération ou à la réinitialisation d'identifiants.

Bien qu'elle ait assuré à Clorox qu'elle respectait ces procédures, la conduite de Cognizant le 11 août 2023 a démontré de manière spectaculaire qu'elle ne le faisait pas. Cognizant a à plusieurs reprises donné à un cybercriminel l'accès au réseau de Clorox en lui remettant des identifiants sans les authentifier correctement ni suivre la procédure de Clorox.

Les défaillances de Cognizant ont entraîné une cyberattaque catastrophique contre Clorox (« cyberattaque »).

Cognizant n'a pas été victime d'une ruse élaborée ni de techniques de piratage sophistiquées. Le cybercriminel a simplement appelé le service d'assistance de Cognizant, demandé les identifiants pour accéder au réseau de Clorox, et Cognizant les lui a fournis sans hésiter. Cognizant a été enregistré en train de remettre les clés du réseau d'entreprise de Clorox au cybercriminel, sans poser aucune question d'authentification :
  • Cybercriminel : Je n'ai pas de mot de passe, je ne peux donc pas me connecter.
  • Agent Cognizant : Oh, d'accord. D'accord. Je vais vous donner le mot de passe, d'accord ?
  • Cybercriminel : D'accord. Oui. C'est quoi le mot de passe ?
  • Agent Cognizant : Un instant. Il commence par le mot « Welcome... »

Le cybercriminel a ensuite utilisé ces identifiants, ainsi que d'autres obtenus le même jour lors d'appels...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

5 commentaires
Commenter Signaler un problème
GLDavid
Avatar de GLDavid
Expert confirmé https://www.developpez.com
Le 25/07/2025 à 7:49
Bonjour

Les entreprises délèguent de plus en plus les fonctions support et maintenance à des entreprises comme Cognizant et autres SSII.
Or, le support/maintenance inclut aussi la gestion des groupes et utilisateurs. Comme des sociétés comme Cognizant ont leurs centres opérationnels en Inde, ça recrute forcément des jeunes à vils prix. Il y a un turn-over démentiel dans ces boîtes et ce sont donc les jeunes qui sont mis au front. Résultat, tu te retrouves à gérer les comptes utilisateurs avec une fonction admin alors que la politique de sécurité du client ne t'a pas été transmise.
C'est tout un modèle à revoir ! Il n'y a pas si longtemps, les entreprises disposaient de leur propre département IT et géraient par elles-même. Maintenant les départements IT se résument à des décisionnaires qui cherchent à rentabiliser ou à réduire les dépenses de leurs départements.
Petite histoire perso: j'ai travaillé avec une consultante Europe de Cognizant. Ils sont très agressifs en terme de prix mais aussi toxiques dans le travail. Une vraie Nemesis ! Là où je m'arrachais les cheveux pour tenir les délais que l'on avait fixé avec le client, elle se contentait de donner une deadline 'grosse maille' dans 6 mois ou plus.

@++
4  0 
Avatar de
https://www.developpez.com
Le 25/07/2025 à 8:25
En France, les grands groupes à ma connaissance n'externalisent pas. Pour les ETI et PME, aux moyens moins conséquents, par contre peuvent mutualiser leurs services IT. Avec les nouvelles lois résilience et transposition de NIS2 et DORA, je pense que c'est un bon moyen de tendre vers une sécurisation plus résiliente. Un DSI-RSSI avec une équipe de 10-12 personnes pour une dizaine de PME doit être envisageable. Il se trouve beaucoup de sociétés en France spécialisées dans l'administration de SI qui ne demandent que cela : je ne parle pas des grosses ESN, mais de PME dont il s'agit de la spécialité.

Quelle lecture faites-vous de cette situation ?
Quel prestataire IT digne de ce nom communique le mot de passe admin comme ça au téléphone ? Pas très sérieux...
3  0 
totozor
Avatar de totozor
Expert confirmé https://www.developpez.com
Le 25/07/2025 à 13:21
Citation Envoyé par marsupial Voir le message
En France, les grands groupes à ma connaissance n'externalisent pas.
J'en discutais avec quelques potes récemment, ce que l'on constate est qu'on passe d'un service externaliser à un service internalisé en Offshore via le rachat d'une boite de presta. Ce qui ne nous rassurait pas beaucoup.
En gros on était 4/5 à constater ça sur une fourchette de -5/+2 ans.
1  0 
Fagus
Avatar de Fagus
Membre expert https://www.developpez.com
Le 25/07/2025 à 13:20
« Si Cognizant avait correctement formé son personnel du service d'assistance aux politiques et procédures de Clorox ou aux normes de base du secteur, la cyberattaque n'aurait jamais eu lieu. »
Mais bien sûr

J'ai fait l’accréditation récemment. Toute l'équipe a bien son papier de validation des 36 cycles des formations en ligne des bonne pratiques de sécurité (des vidéos affreusement longues et ennuyeuses qui s'interrompent avec des QCM pour vérifier qu'on écoute).

Résultat : tout le monde quitte son poste en laissant les sessions ouvertes dans un site accessible au public. Les mots de passe sont la seule authentification et le même mot de passe court est utilisé pour tous les systèmes (ça j'y peux rien). Les mots de passe sont écrits sur les murs.
Bien sûr on peut réinitialiser n'importe quoi en appelant le Helpdesk sans aucune authentification (j'ai testé, le helpdesk authentifie les gens en posant la question "vous êtes bien nom + pénom ?" avant même qu'on lui donne une identité).

À mon avis il faut arrêter avec les mots de passe et utiliser des tokens bien gérés. C'est beaucoup plus cher, mais les mots de passe c'est pas pour les humains.
0  0 
GLDavid
Avatar de GLDavid
Expert confirmé https://www.developpez.com
Le 28/07/2025 à 10:19
Citation Envoyé par totozor Voir le message
J'en discutais avec quelques potes récemment, ce que l'on constate est qu'on passe d'un service externaliser à un service internalisé en Offshore via le rachat d'une boite de presta. Ce qui ne nous rassurait pas beaucoup.
En gros on était 4/5 à constater ça sur une fourchette de -5/+2 ans.
Je plussoie totozor, je confirme, maintenant les grandes boîtes font du pseudo-offshoring: le département IT est en fait un département qui se situe en Inde ! Avec bien sûr tout ce que cela comporte : une formation bâclée, des gens pris à la volée, un turn-over dément.
D'après ce qu'ils disent, ça fait des économies.
On en reparle dans 1 an ou 2 ?

@++
0  0