Un vieux proverbe dit que chat échaudé craint l’eau froide. Selon toute vraisemblance, ce dicton n’est pas connu des personnes en charge de la sécurité de Sony car après le piratage de 2011 autour du réseau des joueurs PlayStation, rien n’a vraiment changé et cela a abouti à un piratage dont les répercussions n’ont pas fini de se faire sentir.

En premier lieu, chaque jour qui passe offre son lot de révélations sur l’ampleur des fichiers dérobés. On y trouve notamment des fichiers Excel sans mots de passe contenant des informations sur 47000 employés et acteurs ayant travaillé pour l’entreprise. Numéros de sécurité sociale, adresses et autres informations personnelles ont ainsi été lâchées dans la nature. Les salaires versés à certains acteurs sont également disponibles. Comme nous l’indiquions dans un précédent article consacré à ce piratage, la société FireEye en charge de l’enquête confirme l’utilisation de malwares qui ont déjà servi à attaquer des banques et stations de télévision coréennes.

Mais le plus ennuyeux pour l’entreprise est l’article publié par le site fusion.net (http://fusion.net/story/31469/sony-pictures-hack-was-a-long-time-coming-say-former-employees/) lequel a interrogé d’anciens employés de l’entreprise en charge de la sécurité du système d’information. Et la lecture de ce papier révèle l’incurie de ces « responsables », particulièrement si l’on considère qu’une autre division de l’entreprise a été victime d’un piratage massif. Outre les budgets, informations salariales, numéros de sécurité sociale, fichiers médicaux, films non sortis et autres, les hackers ont posté la liste des mots de passe utilisés par l’entreprise, lesquels étaient contenus dans différents fichiers accessibles… sans mot de passe. Oui, vous avez bien lu : la liste des mots de passe pour accéder, qui aux comptes YouTube, qui aux sites Web, qui aux serveurs dans différents pays, qui aux scénarios … étaient stockés dans des fichiers Word, Excel, ou PDF, facilement accessibles.

Une équipe d'incapables

« L’équipe en charge de la sécurité du système d’information de Sony est une totale plaisanterie », indique un ancien employé de l’entreprise. « Nous leur avons signifié des violations de sécurité et ils ont ignoré nos alertes ». Ou encore : « le véritable problème est qu’il n’y avait pas de véritable investissement ou de véritable compréhension de ce qu’est la sécurité informatique ».

Le patron de cette activité en prend pour son grade particulièrement pour ses déclarations passées au magazine CIO en 2007 où il se montrait particulièrement léger expliquant qu’il fallait accepter le risque et que la gestion des mots de passe ridicules utilisés par les employés n’était pas si grave. 

L’article se conclut en indiquant le salaire de ce monsieur lequel s’élève à 300 000 dollars plus 100 000 dollars de bonus. Ironiquement, nos confrères s’interrogent pour savoir si une brèche et un hack de cette ampleur sont de nature à lui faire obtenir ce bonus.




Autres News Gouvernance

Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 143649
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI