IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Cybersécurité : 157 Go de données de plus d'une centaine d'entreprises manufacturières ont été exposées
Sur un serveur public non sécurisé

Le , par Bill Fassinou

139PARTAGES

18  0 
UpGuard, une startup australienne de cyber-résilience, a découvert l’exposition d’une base de données de 157 Go sur un serveur accessible au public appartenant à Level One Robotics, un fournisseur de services d’ingénierie spécialisé dans les processus d’automatisation et d’assemblage. Cette base de données découverte le 1er juillet par les spécialistes d’UpGuard contenait plus de dix ans de schémas de chaînes de montage, de plans d’agencement d’usine, de configurations robotisées et de documentations (formulaires de demande d’identification, formulaires de demande d’accès VPN, accords de non-divulgation, noms et titres d’employés) appartenant à plus d’une centaine d’entreprises manufacturières dont Volkswagen, Chrysler, Ford, General Motors, Tesla et ThyssenKrupp, pour ne citer que celles-là. Elle comprenait aussi des informations personnelles (scans de permis de conduire et de passeports, noms, numéros d’identification, photos) de certains employés de Level One Robotics et des données commerciales (factures, contrats, détails de comptes bancaires, négociations de prix) de l’entreprise.


Les données ont été exposées via rsync, un protocole de transfert de fichiers utilisé pour transférer d'importants volumes de données. Le serveur rsync n'était pas restreint par IP ou par identification d’utilisateur et l'ensemble des données était téléchargeable sur n'importe quel client rsync connecté au port rsync. La quantité de données sensibles et le nombre d'entreprises touchées illustrent parfaitement la manière dont les cyber-risques de la chaîne d'approvisionnement peuvent affecter même les plus grandes entreprises. L'automatisation et la numérisation de l'industrie manufacturière ont sublimé ces dernières années, mais elles ont également créé de nouvelles inquiétudes qui doivent être prises au sérieux afin qu’à terme, les entreprises puissent prospérer dans un écosystème numérique sain.

Apres avoir découvert la base de données, l’équipe cyber-risque d’UpGuard l’a analysée et a pris contact avec Level One Robotics le 9 juillet. Prenant l’affaire à bras-le-corps, l’entreprise d’ingénierie a mis les bouchées doubles pour que dès le lendemain, les données exposées soient sécurisées et restreintes d’accès. rsync est un utilitaire largement utilisé pour les transferts de données volumineuses, en particulier les sauvegardes ou la synchronisation de fichiers. Cependant, il peut être utilisé de manière non sécurisée si les mesures appropriées ne sont pas prises pour sécuriser le transfert des données.

Afin d’empêcher l’accès aux clients non autorisés, les instances de rsync devraient être restreints par adresse IP afin que seuls les clients désignés puissent se connecter, et l'accès utilisateur doit être configuré de manière à ce que les clients passent par une authentification avant de recevoir les jeux de données. Autrement, rsync est accessible au grand public. Prenant conscience de la sensibilité des données exposées, il est aisé d’appréhender la gravité de la fuite. Les constructeurs automobiles - et les fabricants en général - veulent généralement garder confidentiels les détails sur la façon dont ils fabriquent leurs produits. Les plans d'usine, les efforts d'automatisation et les spécifications des robots sont révélateurs du potentiel de production de l'entreprise.

Des individus malveillants pourraient éventuellement saboter les opérations des entreprises en utilisant les informations présentes dans ces fichiers. Les concurrents pourraient les utiliser pour se garantir un avantage déloyal. Le simple fait qu’il y ait autant d’accords de non-divulgation dans la base de données montre le niveau de confidentialité auquel les entreprises s’attendent lorsqu’elles traitent de ce genre d’informations. Et malgré le fait qu'aucun mot de passe n'ait été directement révélé dans le jeu de données, le croisement des données dévoilées pourrait rendre beaucoup plus facile l’accès à ces entreprises . De plus, les informations personnelles des employés de Level One Robotics et de ses clients pourraient être la porte ouverte à une vague d’usurpations d’identité. Il faut aussi souligner qu’il y a un risque pour que pendant les jours où les données étaient accessibles au public, quelqu’un ait pu en tirer avantage de quelque manière que ce soit.

Ainsi, malgré tout ce que certaines entreprises dépensent par an pour leurs cybersécurités, elles peuvent toujours être exposées par un fournisseur qui gère leurs données. La complexité de la chaîne d'approvisionnement implique une extension de tierces et de quatrièmes parties qui manipulent des ensembles de données d'entreprise. Tous ces fournisseurs ont leurs propres processus et systèmes qui déterminent dans quelle mesure les données sont protégées. Les organisations et leurs fournisseurs doivent disposer de processus de déploiement normalisés qui créent et conservent les actifs en toute sécurité, réduisant ainsi la probabilité d'un incident. Si cette sécurité n'est pas intégrée aux processus eux-mêmes, il y aura toujours des erreurs de configuration qui se répercuteront et mèneront à l'exposition des données. Ils doivent également avoir un plan d'intervention en cas d'exposition, de sorte que lorsqu'ils sont touchés, ils puissent agir rapidement pour remédier à la situation.

Sources : UpGuard, NYT

Et vous ?

Qu’en pensez-vous ?
Quelles mesures conjointes les entreprises et leurs fournisseurs devraient-ils prendre pour maximiser la sécurité des données ?

Voir aussi

Les meilleurs cours et tutoriels pour apprendre la sécurité informatique
USA, cybersécurité aéronautique : les avions commerciaux exposés aux potentielles attaques, de nombreuses vulnérabilités ont été découvertes
Environ six organisations sur dix emploient un expert en cybersécurité selon une enquête de Gartner qui évoque les défis rencontrés par les DSI
Cybersécurité : comment l'attaque contre Equifax en 2017 a-t-elle pu être possible ? Un état des lieux de la cybersécurité après cette attaque

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de
https://www.developpez.com
Le 25/07/2018 à 19:41
Citation Envoyé par Bill Fassinou Voir le message

Qu’en pensez-vous ?
Là c'est le pompon tout de même:

- Une base non sécurisée.
- Une gestion documentaire plus "qu'approximative" les fichiers étant aussi bien des données techniques que des données personnelles.
- Un absence manifeste d'audits de sécurité, puisque c'est une tierce partie qui relève la faille.

Gageons qu'avec une telle négligence la rétention des logs de cette machine doit elle aussi laisser à désirer. Ce qui ne va pas être pratique pour de déterminer si les données ont étés compromises ou non.
2  0