Apple s’est retrouvé fragilisé par un maillon faible au sein de sa propre chaîne d’approvisionnement : les employés d’un distributeur ont été arrêtés, suspectés d’avoir vendu les données personnelles des utilisateurs d’iPhone sur les forums underground.
Selon le Hong Kong Free Press, la police chinoise a arrêté 22 personnes, dont 20 étaient des employés d’une entreprise, décrite dans une déclaration de police, comme une “société nationale de vente directe et une société de sous-traitance”.
Les détentions sont survenues après une enquête de plusieurs mois dans quatre provinces chinoises : Guangdong, Jiangsu, Zhejiang et Fujian. La déclaration de police a précisé que les suspects avaient été placés en garde à vue, que la police avait saisi ce qu’il appelle les “outils criminels” du gang, et enfin avait démantelé leur réseau en ligne.
Le scam présumé permettait de récupérer les noms des utilisateurs, les numéros de téléphone, les ID Apple et d’autres données appartenant au système interne de l’entreprise, puis de vendre ces données personnelles pour plus de 50 millions de yuans (6,55 millions d’euros).
Le coût prétendument facturé pour les données personnelles volées, vendues pièce par pièce, était compris entre 10 yuans (1,31 €) et 180 yuans (23,6 €).
Le Hong Kong Free Press a noté que la vente de données personnelles est très “répandue” en Chine. Répandue, mais de plus en plus dangereuse : au début du mois, le pays a promulgué une nouvelle loi qui exige davanatage de rigueur dans la surveillance et le stockage des données personnelles au niveau des entreprises travaillant dans le pays. Selon Reuters, l’agence de presse officielle Xinhua a prévenu que “ceux qui violeraient les dispositions et enfreindraient cette réglementation sur les informations personnelles s’exposeront à de lourdes amendes”.
Engadget a contacté Apple pour avoir plus d’informations, y compris le nombre de clients affectés, s’ils venaient de Chine ou d’autres pays, et qu’adviendra-t-il de cette base de données interne après cette violation. Samedi dernier, aucune réponse n’avait encore été fournie.
Bien sûr, comme beaucoup d’entreprises technologies, Apple a vivement partagé son embarras : rien de comparable à ces surdoués d’Apple renversant du whisky sur leurs disques durs, ou au fait d’utiliser les ordinateurs portables comme des skateboards, si aucun client particulier n’est pris pour cible, comme l’a raconté Sam Biddle de Gizmodo dans son histoire : “Confessions from the Corrupt Apple Store in America“.
Mais Apple n’a certainement pas réussi à verrouiller le marché vis à vis de ses employés fougueux, ou des menaces provenant d’insiders, comme cette récente vague d’arrestations d’employés d’un distributeur.
Comme, par exemple, les établissements de santé. Selon un rapport de Protenus, une entreprise d’analyse Big Data, les insiders ont commis 59,2% des actes de violation des dossiers médicaux de patients en janvier 2017, avec une grande partie des suspicions portant sur des insiders qui étaient soit des escrocs, soit des personnes incompétentes.
La partie “incompétence” du puzzle a été soulignée par un autre rapport, émanant d’IBM Managed Security Services (MSS), et qui a révélé que les insiders étaient responsables de 68% de toutes les attaques du réseau ciblant les données de santé en 2016. Presque les deux tiers de ces attaques étaient le résultat de personnes utilisant des serveurs mal configurés et d’autres se retrouvant victime d’hameçonnage.
Les employés revanchards est une menace à part entière. Le FBI a déclaré que les employés mécontents s’adonnaient de plus en plus au e-sabotage des entreprises.
Prenez l’ancien directeur informatique de Columbia Sportswear : la société l’a récemment poursuivi pour avoir prétendument mis en place un faux compte de messagerie la veille de son départ, et pour l’avoir utilisé pour pirater l’entreprise pendant plus de deux ans.
De plus, il y a le cas de Yovan Garcia, qui a été condamné à une amende de 318 661,70 $ après qu’un tribunal de Californie l’ait jugé coupable de la falsification de ces heures de travail, du piratage des serveurs de la société pour voler des données clients, de la destruction des serveurs liés au processus, la dégradation du site web, le vol de logiciels propriétaires et la mise en place d’une entreprise concurrente s’appuyant sur ces programmes dérobés.
AIE !
La colère des employés est une chose. Mais qu’est-ce qu’une entreprise est supposée faire face à un maillon de la chaîne d’approvisionnement qui commence à répandre des données comme un tuyau percé ? Vous pouvez avoir la sécurité la plus stricte du monde, mais tout sera réduit à néant si vous avez un maillon faible dans votre chaîne. Comme nous l’avons remarqué dans le passé, toutes les entreprises avec lesquelles nous travaillons, partageons des données, externalisons des opérations, vendons des produits ou achetons des éléments, font partie intégrante de notre propre chaîne de sécurité. Une faille à n’importe quel point de cette chaîne peut avoir un impact sur la protection de la vie privée et l’intégrité des données personnelles.
On espère qu’Apple, ou toute entreprise, qui gère nos données personnelles examine les fournisseurs qui les traitent ou les stockent, en posant des questions précises et complexes concernant les contrôles et la manière avec laquelle ils ont été mis en œuvre.
Un regard détourné discret ou un léger contre-pied peut souvent révéler ce que vous voulez savoir. Heureusement, quelques minutes prises pour vérifier, peuvent également éviter que le nom de votre entreprise ne fasse les gros titres, comme ceux qui ont impliqué Apple après cet incident, et ce indépendamment du fait que les coupables n’étaient pas réellement des employés Apple.
Ils n’étaient qu’un maillon faible de la chaîne.
Billet inspiré de Distributor caught selling Apple customers’ data, sur Sophos nakedsecurity.