L’affaire Clorox contre Cognizant révèle une vérité dérangeante : il ne faut pas toujours des hackers sophistiqués pour semer le chaos, une voix convaincante et une procédure faible suffisent.

Une multinationale, un appel téléphonique, et 380 millions de dollars de pertes. Ce n’est pas la trame d’un film, mais la réalité dramatique qui a mis en péril la réputation de Clorox et déclenché l’une des actions en justice les plus marquantes de l’année dans le domaine technologique. Tout a commencé par un simple appel au support technique.

L’incident, survenu en 2023 mais dont les conséquences se font encore sentir, met en lumière une facette peu reluisante mais malheureusement courante de la cybersécurité : la confiance aveugle envers des procédures mal définies et des fournisseurs externes insuffisamment contrôlés. La victime : Clorox, un géant du secteur des produits d’entretien, et l’accusé : Cognizant, leur prestataire de support technique. La faute majeure : avoir accordé un accès à un attaquant sans effectuer de vérifications.

Selon la plainte déposée en Californie, un acteur malveillant s’est fait passer pour un employé et a contacté le service d’assistance. La conversation, enregistrée et présentée comme preuve judiciaire, est particulièrement alarmante :

— Je n’ai pas de mot de passe, je ne peux donc pas me connecter.
— Ah, d’accord. Laisse-moi te donner le mot de passe, d’accord ?

Sans authentification ni vérifications de base, sans poser de questions, il s’est vu remettre une nouvelle authentication et un accès direct au réseau de l’entreprise. L’assaillant a réussi à obtenir des identifiants clés, y compris ceux du personnel de la sécurité, et a lancé une série de sabotages qui ont paralysé l’activité de Clorox durant plusieurs semaines. Les pertes financières s’élèvent à 50 millions uniquement en coûts de remédiation, sans compter les dizaines de millions liés aux interruptions logistiques et de production.

Ce qui est reproché à Cognizant n’est pas une défaillance technologique : il n’y a pas eu de malwares, de tentatives de phishing avancées ou de techniques d’exploitation sophistiquées. Le problème réside dans la confiance aveugle, la négligence et l’absence de contrôle. Une situation qui illustre une vérité souvent ignorée : de nombreux grands problèmes en cybersécurité ne proviennent pas de vulnérabilités techniques, mais de procédures humaines mal conçues ou mal appliquées.

Le protocole interne de Clorox stipulait que toute demande de réinitialisation de mot de passe devait recourir à un outil sécurisé et inclure une vérification de l’identifiant. Or, cela n’a pas été respecté. Le résultat : une plainte de 380 millions d’euros et un dommage réputationnel qui mettra des années à se réparer.

Ce cas rappelle que la cybersécurité ne commence pas dans le pare-feu, ni dans le système d’informations (SIEM), ni dans le centre opérationnel de sécurité (SOC). Elle commence dès le plus élémentaire, en formant les opérateurs à ne pas considérer un simple appel comme suffisant pour leur confier les clés du château.

Ce témoignage doit servir d’avertissement dans le secteur technologique : la cybersécurité ne se limite pas à la technologie, c’est aussi une question de culture. Externaliser des services critiques comme le support technique, sans exiger de formations, d’audits réguliers et de protocoles stricts, revient à laisser une copie des clés sous le tapis : tôt ou tard, quelqu’un le découvrira.

En conclusion, alors que l’intelligence artificielle et les modèles prédictifs font la une, ce n’est pas une machine malveillante qui a coulé Clorox, mais l’absence de questions fondamentales. L’attaquant n’a pas eu besoin de coder ou d’utiliser des exploits avancés : il lui a suffi de sonner convaincant.

Et malheureusement, cette approche reste suffisante pour provoquer des ravages dans de nombreuses organisations.

Une simple appel téléphonique a été suffisante. Vos processus sont-ils prêts à y résister ?

Source : Open Security News