NOUS CONTACTER






Top

L'outil de travail sécurisé Huddle mélange les sessions de KPMG et la BBC

L'outil de travail sécurisé Huddle mélange les sessions de KPMG et la BBC


Imaginez que vous arrivez le matin à votre travail, et en vous connectant sur Slack, ou Google Drive, ou Gmail, vous vous retrouvez à utiliser le compte de quelqu’un qui travaille pour l’Elysée, ou Total … C’est ce qui est arrivé à un employé de la BBC en se connectant à l’application Huddle, se retrouvant avec un accès total à des fichiers sensibles de la société KPMG.

Huddle est une application professionnelle utilisée pour envoyer des documents, gérer un agenda, et même en tant que messagerie. Réputée ultra sécurisée, elle est utilisée par les services de santé publiques en Angleterre, mais aussi le Bureau du Cabinet (Cabinet Office), et d’autres institutions gouvernementales ou royales du Royaume-Uni. Tant les clients sont importants et s’échangent des données sensibles, cette ‘faille’ aurait pu être bien plus grave.

Capture d’écran prise par l’employé de la BBC

Dans une déclaration, Huddle se veut rassurant en précisant qu’il ne s’agit que de six sessions individuelles entre mars et novembre 2017. Rapporté au total de sessions, cela fait 6 personnes pour presque 5 millions de connections.

Néanmoins, si un employé de la BBC a été connecté sur l’interface dédiée à KPMG, Huddle a déclaré qu’un tiers avait eu accès à l’un des comptes de la BBC. Cette personne a accédé aux fichiers du programme pour enfant Hetty Feather, sans pour autant en ouvrir un seul.

Huddle a détaillé à la BBC le mécanisme de cet accès. Lorsque quelqu’un se connecte à l’application, il reçoit un code d’authentification pour valider sa connexion. Si deux personnes tentent de se connecter en même temps sur un laps de temps de 20 millisecondes, elles se retrouvent connectées ensuite sur la session de la personne qui a voulu accéder à son compte en premier.

« Nous souhaitons clarifier le fait que ce bug a été corrigé, et que nous travaillons pour nous assurer qu’un tel scénario de ne reproduise pas, » a assuré la société à la BBC.

Pour ce qui de l’accès à la session par un tiers, on n’en sait malheureusement pas plus. Cet accès aurait pu déboucher à des conséquences plus graves, et possible qu’un hacker dépose un fichier permettant d’accéder à encore plus de sessions … On aurait pu se rapprocher de la récente fuite de données qui s’est déroulée chez Deloitte.

source

Share
No Comments

Post a Comment