Outils SaaS : d’anciens salariés vous espionnent et vous volent

Tous les jours, des données sensibles sont volées aux entreprises par des salariés cupides ou malveillants. D’autres fois, c’est la simple inadvertance qui rend ces données disponibles sur le web, au moyen d’une simple recherche Google. Le point commun de toutes ces fuites ? Le manque de rigueur dans l’administration et le contrôle des logiciels SaaS utilisés par les salariés.

2019

Un expert témoigne : « Nous pensons que l’outil SaaS Amazon Web Service (AWS) a facilité certaines erreurs de configurations dans ses espaces de stockage, les rendant dans certains cas totalement accessibles sur le net ». Résultat ? Fuite sur internet d’une liste de 2 millions de personnes de la société Dow Jones. A cause d’une négligence sur AWS, ces données étaient devenues accessibles via une simple recherche Google…

Elon Musk est très embarrassé : il doit annoncer le vol de nombreuses données sensibles par un salarié de Tesla. En effet, pour se venger d’un refus de promotion, ce dernier a profité de ses droits d’accès aux logiciels SaaS de l’entreprise pour y dérober des données confidentielles et les revendre à des concurrents de Tesla.

2018

Sur les outils SaaS Trello, Google Drive et Jira, des utilisateurs se trompent dans le paramétrage des droits d’accès. Conséquence ? Leurs informations confidentielles deviennent publiques sur Google. Notamment, plus de 60 « tableaux » Trello. Les victimes ? De grandes entreprises, des institutions publiques, les Nations Unies… Les données concernées ? Des projets en cours et leur état d’avancement, des emails, des mots de passes permettant notamment d’accéder à des comptes de messageries, des réseaux internes et des conférences téléphoniques.

400 000€. C’est l’amende que la CNIL inflige à Uber. Motif ? 57 millions de données personnelles ont fuité de ses systèmes. Selon la CNIL « l’absence de processus relatif au retrait des habilitations des anciens ingénieurs sur les logiciels SaaS d’Uber constitue une négligence importante puisque Uber était dans l’impossibilité de garantir que des personnes ayant quitté la société ne continuaient pas d’accéder aux projets développés sur l’outil SaaS Github ».

2017

Après avoir été responsable R&D chez Google, Anthony Levandowski créé Otto. Sa spécialité ? Les véhicules autonomes. Quelques mois plus tard, l’ancien salarié revend Otto à Uber pour 600 millions de dollars. Or, Uber concurrence justement Google dans le domaine des voitures autonomes. Google accuse donc son ancien salarié d’avoir utilisé Otto comme « couverture » pour vendre à Uber des données R&D volées à Google. Volées comment ? Grâce à Google Drive, un outils SaaS qui aurait permis à Levandowski de télécharger 14 107 fichiers confidentiels (9,74 Go de données).

A Stanford, des privilèges d’accès mal configurés sur Google Drive (plateforme de partage de fichiers en ligne) rendent publiques des données personnelles concernant les étudiants et plus de 1 000 employés du campus.

Microsoft a prévu que tous les documents partagés sur Docs.com (équivalent de Google Drive) soient publics par défaut. La plupart des utilisateurs l’ignorent. Conséquence ? Des centaines d’utilisateurs partagent involontairement des documents sensibles, et ce avec la terre entière. C’est ainsi qu’on a pu découvrir sur le web des données médicales (des dossiers médicaux avec des photos de patients), des numéros de sécurité sociale, des numéros de comptes bancaires et des informations de connexion (mots de passe, etc.).

Autres exemples

Google Agenda propose notamment deux options à ses utilisateurs : garder leurs entrées privées ou les ouvrir au public (c’est à dire librement consultables sur le web via … une recherche Google). Par inadvertance ou impatience (ne trouvant pas une fonctionnalité, on essaie parfois toutes les commandes disponibles), des utilisateurs sélectionnèrent l’option 2. C’est ainsi que des numéros d’appel et des codes d’accès à des réunions internes hebdomadaires se retrouvèrent sur le web. N’importe qui, muni de ces données, pouvait alors s’inviter aux conférences téléphoniques pour, sans se faire remarquer (en mute), écouter les secrets d’affaires échangés. Les victimes ? McKinsey, JPMorgan Chase & Co. Deloitte, etc…

Les interconnexions entre outils SaaS sont également en cause. Par exemple, connecter Google Drive à un espace de discussion sur Slack (messagerie interne) permet à tous les membres du Slack d’accéder aux fichiers du Google Drive connecté, peu importe les droits paramétrés à l’origine sur Google Drive. Dans une affaire, plus de 100 comptes Google Drive ont ainsi été rendus accessibles via Slack. Selon un porte-parole de l’entreprise victime : « une simple erreur de configuration dans l’un de nos outils de collaboration ».

La société de jeux vidéo Zynga a poursuivi deux de ses anciens employés pour lui avoir volé des informations confidentielles et les avoir revendu à un concurrent. L’enquête judiciaire a révélé que l’un des salariés arrêtés, Massimo Maietti, avait téléchargé 10 dossiers Google Drive et récupéré ainsi plus de 14 000 fichiers, soit 26 Go d’informations hautement confidentielles : sepcs détaillées, jeux inédits, informations financières, etc.