TD : des documents internes accessibles en ligne

Attunity, une firme spécialisée dans la gestion et la protection de données, aurait laissé facilement accessibles en ligne des documents de certains de ses clients comme la banque TD et Ford Motor Co., peut-on lire sur le site de Bloomberg.

L’incident a révélé des mots de passe et de l’information réseau d’Attunity ainsi que des courriels et des designs technologiques de certains de ses clients. Des chercheurs d’UpGuard Inc., une entreprise de cybersécurité, ont découvert plus d’un téraoctet (1 000 Go) de données non sécurisées sur des serveurs d’infonuagique d’Amazon. 

UN NUAGE MAL CONFIGURÉ

L’erreur viendrait d’Attunity, qui n’aurait pas configuré correctement son hébergement en infonuagique. L’information était donc accessible au public et facilement lisible, puisqu’elle n’était pas cryptée. Parmi ces documents, on retrouve des factures et des contrats commerciaux de TD, en plus de fichiers portant sur les solutions technologiques produites pour la TD par Attunity. 

Plus grave encore, les mots de passe de plusieurs administrateurs et employés d’Attunity étaient disponible, ainsi que des copies de leurs courriels (plus de 750 gigaoctets de courriels compressés!), de l’information personnelle sur environ 354 employés d’Attunity (y compris leur numéro d’assurance sociale) et une véritable carte routière du réseau virtuel de l’entreprise. De telles informations pourraient facilement servir à pirater le système d’Attunity pour obtenir encore plus d’informations. 

LES CLÉS DU ROYAUME

« Il s’agit d’une catégorie d’incident que l’on appelle une exposition des clés du royaume », note Chris Vickery, directeur de la recherche sur les cyberrisques d’UpGuard.

Cette dernière n’a pour l’instant trouvé aucun indice que des personnes mal intentionnées se soient servies de ces informations. Attunity les a prestement retirées une journée après avoir été avertie par UpGuard, mais a mis plusieurs semaines par la suite à questionner UpGuard au sujet de cette exposition de données. L’entreprise soutient enquêter présentement sur cette affaire. 

De son côté, TD tentait d’évaluer la nature et l’étendue de l’incident. « Nous n’avons trouvé aucune preuve que des informations personnelles ou financières de nos clients aient été exposées », affirme Matthew Doherty, un porte-parole de la banque. 

Après le grave incident qui a secoué Desjardins, ce nouvel accroc, bien qu’il semble beaucoup moins dommageable pour TD, rappelle à quel point la sécurité des données semble difficile à assurer. Voilà qui n’a rien de rassurant pour les consommateurs.