Razer : fuite de données, l'erreur à 10 millions de dollars de Capgemini

29 juillet 2022 à 17h30
21
razer
Razer était client de Capgemini depuis 2019. © Razer

Sale temps pour la firme française Capgemini, dont le procès contre Razer se poursuit depuis deux semaines devant la Haute Cour de justice de Singapour.

L'ex-employé de Capgemini suspecté d'avoir permis malgré lui une fuite majeure de données de Razer, a changé sa version des faits au cours du procès.

Un accord serait en passe d'être trouvé entre les deux parties

C'est un procès important qui se tient depuis le 13 juillet dernier au sein de la Haute Cour de justice de Singapour. Capgemini y est attaqué pour avoir divulgué les données de 100 000 clients de la firme Razer en libre accès sur le Net, dévoilant également l'ensemble des produits développés par Razer et appelés à rejoindre le marché au cours des deux dernières années.

Le préjudice, estimé à 7 millions de dollars américains par l'entreprise d'informatique singapourienne, pourrait selon nos informations faire l'objet d'un terrain d'entente entre les deux parties. Un accord à l'amiable autour d'une somme équivalente à 10 millions de dollars américains pourrait être trouvé prochainement.

Il faut dire que l'avancée de la procédure est rendue relativement délicate par le changement de version, intervenu le 21 juillet dernier, du désormais ex-employé de Capgemini, M. Argel Cabalag, suspecté d'avoir commis l'erreur menant à cette fuite.

En effet, ce dernier a longtemps nié en bloc être responsable d'une mauvaise manipulation étant à l'origine de la fuite, ce qui n'est plus le cas désormais. Un rapport remis le 24 juin dernier par un expert en cybersécurité mandaté par Razer pointe du doigt une potentielle culpabilité de M. Cabalag.

À l'origine se trouve l'ajout d'un hashtag dans la ligne de code

L'incident initial remonte à plus de deux ans en arrière, le 18 juin 2020. À cette date, Argel Cabalag est responsable tech de Capgemini. Son client, Razer, éprouve des difficultés à régler un problème avec un serveur de la suite ELK, conseillée par Capgemini. M. Cabalag, en tentant de le résoudre, aurait par mégarde ajouté un dièse (#) dans la ligne de code de l'application Kibana, cette dernière assurant la sécurité de la suite ELK. Une erreur de configuration engendrée dans une courte fenêtre de 16 minutes qui pourrait donc coûter cher à Capgemini, sachant que M. Cabalag a nié pendant très longtemps avoir agi de la sorte auprès de sa direction d'alors.

La brèche aurait pourtant été connue de Razer dès le mois d'août 2020, sans réaction pour autant, puis a été repérée le 9 septembre 2020 par un consultant en sécurité indépendant. C'est ce dernier qui a estimé le nombre de données clients rendues publiques, tout en assurant que des informations sensibles telles que les données bancaires des clients de Razer, n'ont pas été diffusées.

Argel Cabalag était parvenu, dans la journée du 10 septembre 2020, à combler la faille de sécurité. Les divergences entre Capgemini et Razer autour de leur responsabilité potentielle dans cette affaire pourraient donc trouver une issue favorable par le potentiel accord à l'amiable.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
21
18
Adrift
Franchement, les accidents, ca arrive…<br /> Ils avaient qu’a pas faire du pas cher avec Capgemini…
kast_or
J’imagine que ce hashtag (#) commentait une ligne de configuration.<br /> Du genre:<br /> #secured=true
Aegis
Tout à fait d’accord. Les erreurs arrivent et doivent être excusées.<br /> Par contre, mentir et dissimuler des éléments importants pour l’investigation, c’est une autre histoire.
Nmut
Comme souvent, le problème n’est pas le type qui a fait l’erreur, mais comment elle a pu passer, surtout après une manip sur un truc sensible, et pourquoi le type tenait tant à se disculper, quitte à mettre encore plus le bazar.<br /> Pour moi, Cap est bien plus fautive que le type. Et pas sûr que la presta ait été vendue au rabais, tu as aussi des failles de procédure (les procédures ou l’application de celles-ci → formation, suivi et contrôle) sur des prestas haut de gamme! :-P.
lnho
C’est beau l’absence de responsabilité individuelle portée aux nues par notre société, qui a contrario, est de plus en plus individualiste. Le fautif doit morfler et sévèrement. Son employeur aussi.
xryl
C’est incompréhensible comme article. Le dièse a été mis pendant 16min seulement, et durant ce laps de temps phénoménal, une fuite de 7 millions de dollars (comment ? Razer n’est pas une banque) mais que Cap Gemini accepterait de rembourser 10 millions de dollars (pourquoi ?) serait survenue. Mais Razer le sait jusqu’en août 2020 (de quoi k’on parle là ?) et a été repéré en septembre 2022 (kézako?).<br /> Donc soit Razer est schizo, puisque s’il le sait jusqu’en août 2020, il l’oublie jusqu’en 2022 ?<br /> Soit c’est une fuite de donnée client et donc sans valeur monétaire (surtout que l’article précise que les données bancaires n’ont pas été diffusées), soit c’est une fuite de capitaux mais là rien n’est indiqué dans l’article.<br /> Soit le journaliste qui a copié les lignes via google translate a rien pigé et donc on comprend rien non plus dans son charabia.
Bombing_Basta
Il n’y a que ceux qui ne font jamais rien, qui ne font jamais d’erreurs…<br /> Et en tapant sur les executants qui font des erreurs, faut pas s’étonner de les voir dissimuler leurs erreurs.<br /> « faut trouver une solution, pas un responsable »<br /> Le « fautif » il me semble qu’il est déjà en train de morfler sévère, et morflera toute sa vie, vu que son nom va être blacklisté partout après une telle affaire, peu importe la sanction qu’il va prendre au procès.<br /> Et surtout, comme souligné au dessus, quand il s’agit d’un point sensible comme ça, on ne laisse pas une seule personne sur le coup, l’erreur est humaine, l’absence de vérification par un tier est une lacune.
Nmut
On arrête pas de taper sur les patrons, mais c’est marrant de voir que le peuple est pire! <br /> Si tu veux que ta boite marche bien, ce n’est pas de trouver un coupable qui la fera avancer, mais bien de trouver POURQUOI il y a eu une erreur et comment l’éviter et/ou limiter l’impact des erreurs.
K702
Je pense plutôt qu’après avoir enquêté suite à la fuite de données ils ont pu définir une fenêtre de 16 minutes durant laquelle a été ajouté le fameux « # » à l’origine du bordel et qu’après vérification un seul employé était en train de travailler le système à ce moment là. Et du coup le système a été en mode open bar pendant plusieurs mois suite à ce malencontreux ajout de "#’.<br /> D’ailleurs c’est juste un # qui a été ajouté, pas un hashtag.
Muggsy68
Et tu dis comment dièse en anglais gros malin ?
jeanlain
Ah, ils auraient du bosser avec qui plutôt ?<br /> Les boites comme Cap, Accenture, Sopra, etc… c’est blanc bonnet et bonnet blanc…<br /> Et quand t’es une grosse boite comme Razer, tu vas pas aller bosser avec l’indep’ du coin. Et si ton boulot de base n’est pas de faire du dev’, tu vas pas non plus embaucher une armée de dev en interne (qu’il faudra alimenter en boulot, former, etc…). Donc tu passes par une ESN…
RomoR
Juste « hash » et non « hashtag », gros pas malin.
RomoR
Cognizant, IBM, Infosys, Microsoft,… bon Cap ce n’est pas petit non plus.<br /> Après pour la qualité j’ai toujours du mal avec généraliser car ça dépend beaucoup des départements dans une même boîte
K702
Bonjour,<br /> Je suis pas pas spécialement malin, mais bon je connais un peu mon anglais : Traduction : dièse - Dictionnaire français-anglais Larousse<br /> Bonne soirée !
jeanlain
RomoR:<br /> Cognizant<br /> Je ne crois pas que Microsoft fournisse ce genre de services. Les autres c’est du même acabit que Cap…
Marvin
Le truc quand même fou c’est que tout ça à cause d’un Hashtag… Ca fait peu pour déverrouiller autant de données sensibles.
fredo59
Qui ne nirai pas une erreur avec une telle pression. Il m’est arrivè de commettre une erreur sur un serveur de test. J’ai reçu un recommandè d’avertissement et j’ai été convoqué par la direction alors que ce n’était que du dev ! De plus, j’avais accepté l’intervention sous pression en pleine nuit car la personne qui devait la faire était malade. Je n’y connaissait rien, on m’a juste donné une procédure a suivre qui était confuse. Dans ce cas les responsables te font porter le chapeau parceque le client se plaint pour se faire rembourser la presta. Un monde de merde les SSII. A présent j’ai changé de métier car ils me répugnent.
MattS32
Le # est un caractère souvent utilisé dans les fichiers de configuration ou dans certains langages pour marquer un commentaire.<br /> Du coup ça peut avoir beaucoup d’impact, car s’il est mis au début d’une ligne de code/configuration, ça revient à supprimer toute la ligne.<br /> Il suffit que ça soit la ligne qui sert à indiquer que l’environnement est celui de production, avec toute la sécurité qui va avec, et hop, on se retrouve avec un truc sans sécurité.
steeven_eleven
Pound
Robinton
Le problème n’est peut être pas tant la manip en question que le processus de mise en production qui a permis que cette erreur ne soit pas détectée. Quand il y a des enjeux de sécurité, on doit avoir un processus qui ne laisserait pas passer le fait qu’un composant de sécurité a été désactivé. Si c’est Cap qui était responsable de tout le système, c’est plus à mon avis pour cette négligence que pour l’erreur individuelle d’un consultant.<br /> C’est en outre cohérent avec le fait que le gars en question est présenté comme le directeur technique, responsable de tout le processus de sécurisation et de mise en production.
thurim
Mon dieu…<br /> Une fuite de données peut entraîner une perte de chiffre d’affaire, c’est justement ce qui est évoqué ici. En l’occurrence, c’est le fait que la roadmap à 2 ans qui ait été dévoilée qui pose un problème. Est ce que tu achèterais un clavier en sachant qu’une version améliorée va sortir dans 6 mois ? Et que dire de la concurrence qui peut choisir de sortir un produit avant l’équivalent Razer, pour saturer le marché (et donc faire perdre des genres à Razer) ?<br /> D’autant qu’on est sur un segment de marché où les produits ne sont pas donnés…
Adrift
Au vu de leurs taille, ils auraient clairement pu faire en interne.<br /> Ils vendent des peripheriques, leurs tech doit pas etre tres complique…<br /> Cap, Accenture, Sopra sont les bas de game de la dev; c’est bien simple, ils recrutent les derniers des classes de toutes les ecoles, les envoient dans la pampa avec des projects codes completement a la rache…<br /> Il existe d’autres moyen de faire du dev de meilleure qualite pour pas forcement beaucoup plus de budget surtout pour des trucs pas tres high tech…<br /> Quand on fait du bas de game, on a ce qu’on paie…
jeanlain
La taille de la boite n’a rien à voir. Ca dépend surtout du secteur d’activité. Une boite qui fait des périphériques, aussi grosse soit-elle, n’a pas forcément envie de devenir une boite de développement logiciel. (je ne parle pas des drivers, logiciels pc pour leurs périphériques, etc… qui en effet peuvent, et sont surement, développés en interne. Mais de toute l’IT autour, ce qui semble bien ici être le cas).<br /> Lol<br /> Je veux bien ta source pour « Cap, Accenture, Sopra sont les bas de game de la dev; c’est bien simple, ils recrutent les derniers des classes de toutes les ecoles, les envoient dans la pampa avec des projects codes completement a la rache… ».<br /> (Te fatigue pas, vu que c’est factuellement faux, y’en a pas)
Voir tous les messages sur le forum

Derniers actualités

Menu Démarrer, gestes... que nous réserve le Windows 11 nouveau, prévu pour septembre ?
QNAP lance un nouveau NAS de salon : ultra-silencieux et ultra-rapide
WhatsApp pour Windows n'a plus besoin de votre smartphone pour se connecter, enfin !
Twitter : Elon Musk obtient le droit de consulter les fichiers d'un ancien responsable
Transparency Series de Skullcandy, l'audio en neutralité carbone (avec des guillemets)
Ces écrans gamer d'Alienware sont TRÈS performants mais surtout... ils ont un porte-casque rétractable
Aux États-Unis, vous pouvez déjà précommander une carte graphique Intel Arc A380
Intel : le plus gros Core i9 Raptor Lake explose son prédécesseur de 60 % en décompression
Des employés de Microsoft ont publié des informations d'identification cruciales sur GitHub
Mini-LED et Alder Lake-P : MSI présente ses nouveaux portables Prestige
Haut de page