lundi 18 novembre 2019    || Inscription
BanniereNews
 
 

Un vieux proverbe dit que chat échaudé craint l’eau froide. Selon toute vraisemblance, ce dicton n’est pas connu des personnes en charge de la sécurité de Sony car après le piratage de 2011 autour du réseau des joueurs PlayStation, rien n’a vraiment changé et cela a abouti à un piratage dont les répercussions n’ont pas fini de se faire sentir.

En premier lieu, chaque jour qui passe offre son lot de révélations sur l’ampleur des fichiers dérobés. On y trouve notamment des fichiers Excel sans mots de passe contenant des informations sur 47000 employés et acteurs ayant travaillé pour l’entreprise. Numéros de sécurité sociale, adresses et autres informations personnelles ont ainsi été lâchées dans la nature. Les salaires versés à certains acteurs sont également disponibles. Comme nous l’indiquions dans un précédent article consacré à ce piratage, la société FireEye en charge de l’enquête confirme l’utilisation de malwares qui ont déjà servi à attaquer des banques et stations de télévision coréennes.

Mais le plus ennuyeux pour l’entreprise est l’article publié par le site fusion.net (http://fusion.net/story/31469/sony-pictures-hack-was-a-long-time-coming-say-former-employees/) lequel a interrogé d’anciens employés de l’entreprise en charge de la sécurité du système d’information. Et la lecture de ce papier révèle l’incurie de ces « responsables », particulièrement si l’on considère qu’une autre division de l’entreprise a été victime d’un piratage massif. Outre les budgets, informations salariales, numéros de sécurité sociale, fichiers médicaux, films non sortis et autres, les hackers ont posté la liste des mots de passe utilisés par l’entreprise, lesquels étaient contenus dans différents fichiers accessibles… sans mot de passe. Oui, vous avez bien lu : la liste des mots de passe pour accéder, qui aux comptes YouTube, qui aux sites Web, qui aux serveurs dans différents pays, qui aux scénarios … étaient stockés dans des fichiers Word, Excel, ou PDF, facilement accessibles.

Une équipe d'incapables

« L’équipe en charge de la sécurité du système d’information de Sony est une totale plaisanterie », indique un ancien employé de l’entreprise. « Nous leur avons signifié des violations de sécurité et ils ont ignoré nos alertes ». Ou encore : « le véritable problème est qu’il n’y avait pas de véritable investissement ou de véritable compréhension de ce qu’est la sécurité informatique ».

Le patron de cette activité en prend pour son grade particulièrement pour ses déclarations passées au magazine CIO en 2007 où il se montrait particulièrement léger expliquant qu’il fallait accepter le risque et que la gestion des mots de passe ridicules utilisés par les employés n’était pas si grave. 

L’article se conclut en indiquant le salaire de ce monsieur lequel s’élève à 300 000 dollars plus 100 000 dollars de bonus. Ironiquement, nos confrères s’interrogent pour savoir si une brèche et un hack de cette ampleur sont de nature à lui faire obtenir ce bonus.




Autres News Gouvernance

Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

RSS
12



Événements SSI

TRUSTECH

Cet événement international dédié aux paiements, à l'identification et à la sécurité est organisé à Cannes (palais des festivals) du 26 au 28 novembre 2019. Organisé par Comexposium.

FIC

Ayant pour thème cette année "Replacer l'humain au coeur de la cybersécurité", le Forum International de la Cybersécurité occupe les 28, 29 et 30 janvier 2020 le Grand Palais de Lille. Organisé par la Région Hauts-de-France et Euratechnologies, la Gendarmerie Nationale et CEIS.

RSS