UpGuard, une startup australienne de cyber-résilience, a découvert l’exposition d’une base de données de 157 Go sur un serveur accessible au public appartenant à Level One Robotics, un fournisseur de services d’ingénierie spécialisé dans les processus d’automatisation et d’assemblage. Cette base de données découverte le 1er juillet par les spécialistes d’UpGuard contenait plus de dix ans de schémas de chaînes de montage, de plans d’agencement d’usine, de configurations robotisées et de documentations (formulaires de demande d’identification, formulaires de demande d’accès VPN, accords de non-divulgation, noms et titres d’employés) appartenant à plus d’une centaine d’entreprises manufacturières dont Volkswagen, Chrysler, Ford, General Motors, Tesla et ThyssenKrupp, pour ne citer que celles-là. Elle comprenait aussi des informations personnelles (scans de permis de conduire et de passeports, noms, numéros d’identification, photos) de certains employés de Level One Robotics et des données commerciales (factures, contrats, détails de comptes bancaires, négociations de prix) de l’entreprise.
Les données ont été exposées via rsync, un protocole de transfert de fichiers utilisé pour transférer d'importants volumes de données. Le serveur rsync n'était pas restreint par IP ou par identification d’utilisateur et l'ensemble des données était téléchargeable sur n'importe quel client rsync connecté au port rsync. La quantité de données sensibles et le nombre d'entreprises touchées illustrent parfaitement la manière dont les cyber-risques de la chaîne d'approvisionnement peuvent affecter même les plus grandes entreprises. L'automatisation et la numérisation de l'industrie manufacturière ont sublimé ces dernières années, mais elles ont également créé de nouvelles inquiétudes qui doivent être prises au sérieux afin qu’à terme, les entreprises puissent prospérer dans un écosystème numérique sain.
Apres avoir découvert la base de données, l’équipe cyber-risque d’UpGuard l’a analysée et a pris contact avec Level One Robotics le 9 juillet. Prenant l’affaire à bras-le-corps, l’entreprise d’ingénierie a mis les bouchées doubles pour que dès le lendemain, les données exposées soient sécurisées et restreintes d’accès. rsync est un utilitaire largement utilisé pour les transferts de données volumineuses, en particulier les sauvegardes ou la synchronisation de fichiers. Cependant, il peut être utilisé de manière non sécurisée si les mesures appropriées ne sont pas prises pour sécuriser le transfert des données.
Afin d’empêcher l’accès aux clients non autorisés, les instances de rsync devraient être restreints par adresse IP afin que seuls les clients désignés puissent se connecter, et l'accès utilisateur doit être configuré de manière à ce que les clients passent par une authentification avant de recevoir les jeux de données. Autrement, rsync est accessible au grand public. Prenant conscience de la sensibilité des données exposées, il est aisé d’appréhender la gravité de la fuite. Les constructeurs automobiles - et les fabricants en général - veulent généralement garder confidentiels les détails sur la façon dont ils fabriquent leurs produits. Les plans d'usine, les efforts d'automatisation et les spécifications des robots sont révélateurs du potentiel de production de l'entreprise.
Des individus malveillants pourraient éventuellement saboter les opérations des entreprises en utilisant les informations présentes dans ces fichiers. Les concurrents pourraient les utiliser pour se garantir un avantage déloyal. Le simple fait qu’il y ait autant d’accords de non-divulgation dans la base de données montre le niveau de confidentialité auquel les entreprises s’attendent lorsqu’elles traitent de ce genre d’informations. Et malgré le fait qu'aucun mot de passe n'ait été directement révélé dans le jeu de données, le croisement des données dévoilées pourrait rendre beaucoup plus facile l’accès à ces entreprises . De plus, les informations personnelles des employés de Level One Robotics et de ses clients pourraient être la porte ouverte à une vague d’usurpations d’identité. Il faut aussi souligner qu’il y a un risque pour que pendant les jours où les données étaient accessibles au public, quelqu’un ait pu en tirer avantage de quelque manière que ce soit.
Ainsi, malgré tout ce que certaines entreprises dépensent par an pour leurs cybersécurités, elles peuvent toujours être exposées par un fournisseur qui gère leurs données. La complexité de la chaîne d'approvisionnement implique une extension de tierces et de quatrièmes parties qui manipulent des ensembles de données d'entreprise. Tous ces fournisseurs ont leurs propres processus et systèmes qui déterminent dans quelle mesure les données sont protégées. Les organisations et leurs fournisseurs doivent disposer de processus de déploiement normalisés qui créent et conservent les actifs en toute sécurité, réduisant ainsi la probabilité d'un incident. Si cette sécurité n'est pas intégrée aux processus eux-mêmes, il y aura toujours des erreurs de configuration qui se répercuteront et mèneront à l'exposition des données. Ils doivent également avoir un plan d'intervention en cas d'exposition, de sorte que lorsqu'ils sont touchés, ils puissent agir rapidement pour remédier à la situation.
Sources : UpGuard, NYT
Et vous ?
Qu’en pensez-vous ?
Quelles mesures conjointes les entreprises et leurs fournisseurs devraient-ils prendre pour maximiser la sécurité des données ?
Voir aussi
Les meilleurs cours et tutoriels pour apprendre la sécurité informatique
USA, cybersécurité aéronautique : les avions commerciaux exposés aux potentielles attaques, de nombreuses vulnérabilités ont été découvertes
Environ six organisations sur dix emploient un expert en cybersécurité selon une enquête de Gartner qui évoque les défis rencontrés par les DSI
Cybersécurité : comment l'attaque contre Equifax en 2017 a-t-elle pu être possible ? Un état des lieux de la cybersécurité après cette attaque
Cybersécurité : 157 Go de données de plus d'une centaine d'entreprises manufacturières ont été exposées
Sur un serveur public non sécurisé
Cybersécurité : 157 Go de données de plus d'une centaine d'entreprises manufacturières ont été exposées
Sur un serveur public non sécurisé
Le , par Bill Fassinou
Une erreur dans cette actualité ? Signalez-nous-la !