Clorox accuse son fournisseur informatique d'avoir fourni à des pirates informatiques les mots de passe de ses employés

information fournie par Reuters •23/07/2025 à 04:04

((Traduction automatisée par Reuters à l'aide de l'apprentissage automatique et de l'IA générative, veuillez vous référer à l'avertissement suivant: https://bit.ly/rtrsauto))

(Ajout de la réponse de Cognizant aux paragraphes 5 et 6) par Raphael Satter

Le fabricant d'eau de Javel Clorox CLX.N a déclaré mardi qu'il avait poursuivi le fournisseur de technologies de l'information Cognizant CTSH.O au sujet d'une cyberattaque dévastatrice survenue en 2023, alléguant que les pirates avaient obtenu l'accès en demandant au personnel de l'entreprise technologique les mots de passe de ses employés.

Clorox a été l'une des nombreuses grandes entreprises touchées en août 2023 par le groupe de pirates informatiques baptisé Scattered Spider , qui s'est spécialisé dans la manipulation des services d'assistance informatique pour les amener à fournir des informations d'identification, puis à utiliser cet accès pour les verrouiller contre une rançon.

Le groupe est souvent décrit comme exceptionnellement sophistiqué et persistant, mais dans une plainte déposée mardi devant un tribunal de l'État de Californie, Clorox a déclaré que l'un des pirates de Scattered Spider avait été en mesure de voler à plusieurs reprises les mots de passe des employés simplement en les leur demandant.

"Cognizant n'a pas été dupé par un stratagème élaboré ou des techniques de piratage sophistiquées", selon une copie de l'action en justice examinée par Reuters. "Le cybercriminel a simplement appelé le service d'assistance de Cognizant, a demandé des informations d'identification pour accéder au réseau de Clorox, et Cognizant a immédiatement transmis ces informations d'identification."

Cognizant, dans une déclaration envoyée par courriel, s'est défendue en affirmant qu'elle ne gérait pas la cybersécurité pour Clorox et qu'elle n'avait été engagée que pour des services d'assistance limités.

"Clorox a essayé de nous rendre responsables de ces échecs, mais la réalité est que Clorox a engagé Cognizant pour une gamme limitée de services d'assistance que Cognizant a raisonnablement exécutés", a déclaré Cognizant.

Le procès n'était pas immédiatement visible sur le registre public de la Cour supérieure du comté d'Alameda. Clorox a fourni à Reuters un accusé de réception du tribunal.

Trois transcriptions partielles incluses dans le procès montreraient des conversations entre le pirate et le personnel d'assistance de Cognizant dans lesquelles l'intrus demande à ce que les mots de passe soient réinitialisés et le personnel d'assistance s'exécute sans vérifier à qui il parle, par exemple en lui demandant son numéro d'identification d'employé ou le nom de son responsable.

"Je n'ai pas de mot de passe, donc je ne peux pas me connecter", déclare le pirate lors d'un appel. L'agent répond: "Oh, OK. D'ACCORD. Laissez-moi vous donner le mot de passe, d'accord?"

La facilité apparente avec laquelle les pirates ont obtenu ce qu'ils voulaient n'indique pas nécessairement qu'ils n'étaient pas compétents, a déclaré Maxie Reynolds, un expert en sécurité qui s'est spécialisé dans l'ingénierie sociale et qui n'est pas partie prenante à l'affaire.

"Ils ont simplement essayé ce qui fonctionne habituellement", a-t-elle déclaré.

Maxie Reynolds a déclaré que les transcriptions complètes étaient nécessaires pour offrir une évaluation juste de ce qui s'est passé en 2023, mais a ajouté que "si tout ce qu'ils avaient à faire était d'appeler et de demander directement, ce n'est pas de l'ingénierie sociale et c'est de la négligence ou un manquement au devoir."

Le piratage de Clorox en 2023 a causé 380 millions de dollars de dommages, selon le procès, dont environ 50 millions de dollars liés aux coûts de réparation et le reste attribuable à l'incapacité de Clorox d'expédier des produits aux détaillants à la suite du piratage.

Clorox a déclaré que le nettoyage avait été entravé par d'autres défaillances du personnel de Cognizant, notamment l'incapacité à désactiver certains comptes ou à restaurer correctement les données.