Cinq anciens employés de Kaseya, dont le logiciel a été victime du ransomware REvil d'obédience russe ayant affecté près de 1 500 entreprises, ont expliqué à Bloomberg avoir alerté leur hiérarchie, plusieurs fois, de 2017 à 2020, au sujet de problèmes de cybersécurité.
Ils déploraient notamment du code obsolète, l'utilisation d'un chiffrement et de mots de passe faibles, le non-respect des pratiques de base en matière de cybersécurité telles que l'application régulière de correctifs aux logiciels, ou encore l'accent mis sur le marketing et les ventes au détriment d'autres priorités.
L'un des anciens employés a déclaré qu'au début de 2019, il avait envoyé aux dirigeants de l'entreprise une note de 40 pages détaillant les problèmes de sécurité, mais qu'il avait été licencié environ deux semaines plus tard. Ce qui, selon lui, serait lié à ses efforts répétés pour signaler ces problèmes.
Un autre explique que les mots de passe étaient stockés en clair sur des plateformes tierces. Quatre déplorent en outre qu'une partie du développement du logiciel avait été externalisé en Biélorussie, ce qui aurait pu constituer un problème de sécurité potentiel, au vu de l'allégeance politique du pays envers les autorités russes.
Et d'après trois d'entre eux, des pirates avaient déjà utilisé le logiciel de Kaseya pour déployer des ransomwares à au moins deux reprises entre 2018 et 2019. Sans que l'entreprise ne modifie son approche des problématiques de cybersécurité de manière significative.
Commentaires (16)
#1
Fort heureusement, la grande majorité des entreprises ne fait pas comme eux.
#2
Bis repetita (on a déjà eu un cas très similaire il y a peu en France).
#3
C’est comme solarwind qui avait un mot de passe du genre “password” et dont certains employé avait prévenu que password c’est pas un mot de passe…
#3.1
https://img-9gag-fun.9cache.com/photo/arvY3Q0_460s.jpg
#4
Tout à fait !
#5
C’est à peine croyable !
#6
un tel niveau d’incompétences dans le management devrait limite aboutir à des peines de prison
licencier le lanceur d’alerte, c’est la goutte d’eau qui fait déborder le vase, mais également envoyer du DEV d’un logiciel comme ça en belarus (!!!!) … mais what … ils étaient corrompus ou quoi ?
#6.1
Non, ça devait côuter moins cher !
“Ah ah, vous avez vu les économies qu’on vous a fait faire en délocalisant le dév ! Allez, envoyez les primes”…
#7
Si seulement on changeait la loi pour que les dirigeants (et autres décideurs) responsables de ce genre de merdes soient considérés comme complice (pénalement parlant) de TOUS les actes délicteurs commis parce qu’ils n’ont (volontairement) pas fait le taff pour sécuriser pour économiser 1 ou 2% de bénèf à mettre dans leurs poches, “bizarrement” cest problèmes seraient du passé en 1 ou 2 ans…
(il suffirait d’une ou deux brouettes de dirigeants prenant 10⁄20 ans fermes et les autres arrêteraient de considérer qu’ils peuvent faire ce qu’ils veulent vu que, de toute façon, même quand il y a un problème, c’est pas eux qui payent, c’est l’entreprise, et que ça leur coûte toujours bien moins cher que d’avoir fait le taff correctement avec leurs “méthodes”… :().
#7.1
Tu sais dans le monde des gros comptes (et oas qu’en info) généralement même si les décideurs ont merdés, ils repartent avec des cadeaux bonux et des remerciements.
#7.2
Il faut juste déjà que les clients portent plainte… Si personne ne se plaint, c’est qu’il n’y a pas de dommage à réparer au titre du code pénal.
Quand les enquêteurs vont fouiller, des dossiers lanceur d’alerte sans suite, ça oriente un peu la responsabilité…
#7.3
Sauf que le système actuel ne permet pas vraiment (voir pas du tout) aux gens lésés de porter plainte… et même quand ça arrive, c’est juste une amende minimale pour l’entreprise, rien pour les dirigeants qui ont pris et imposé ces décisions (sauf encore plus de bonus et de pognon bien sûr).
Sachant que ça coûte une fortune en temps et financièrement parlant pour les lésés de porter plainte.
C’est bien le problème d’ailleurs.
#8
Et: « suite à cette révélation l’équipe dirigeante a décidé de ne pas se licencier elle-même ».
Où peut-être que les cadres dirigeants sont déjà partis vers de meilleurs opportunités, vu leur succès en terme de restriction des coûts et de vitesse de dev et livraison (appelé aussi « après moi le déluge »).
#9
Tu prends rarement ça pour un homicide alors pour “juste” un défaut de sécurisation, ça ne se verra jamais
#10
Ah oui vu comme ça la boite n’est pas vraiment à pleurer. Triste de se faire virer (si tel est la cas) de son taf car on remonte des problème de gestion grave..
#11
Je travail dans une multinational, je travail en usine, je récupère sur entente les pc qu’il ne repare pas pour les réparer et les donnee a du monde qui en on besoin , très mauvaise securiter. Aucune puce TPM dans les machine, aucun blocage du menu uefi. Il me serais très facile d’y introduire un keyloguer et de récupérer les mot de passe des boss voir des directeur. Et ensuite accedez au système des employé