Quelle est donc cette faille MOVEit qui aurait exposé les données personnelles d’au moins 64 millions personnes à travers le monde, et qui est maintenant sous la loupe des régulateurs en valeurs mobilières aux Etats-Unis? Selon Progress Software, auteur du logiciel affecté par ce piratage de masse, une enquête a été ouverte par ces derniers.
Qu’attend-on de cette enquête? Dans un rapport réglementaire déposé cette semaine, Progress Software a confirmé avoir reçu une assignation à comparaître de la Securities and Exchange Commission des États-Unis, exigeant « divers documents et informations » relatifs à la vulnérabilité de MOVEit. Selon la compagnie, il ne s’agit pas d’une investigation accusatoire, et elle précise qu’elle entend « coopérer pleinement ».
Mais quel serait l’impact financier de ces attaques massives pour Progress Software? Malgré l’ampleur de l’incident, la société s’attend à un impact financier minimal. En effet, elle a indiqué avoir subi 1 million de dollars de coûts relatifs à la vulnérabilité de MOVEit, en tenant compte des dédommagements d’assurance reçus et prévus d’environ 1,9 million de dollars.
L’impact financier de MOVEit n’est peut-être pas aussi minime compte tenu des actions en justice lancées par des clients affectés et des utilisateurs.
Mais qu’en est-il des répercussions légales? Progress note une possible perte suite à l’incident. En effet, 23 clients touchés ont entamé des actions judiciaires contre la société et « entendent demander une indemnisation ». De plus, 58 actions collectives ont été déposées par des individus qui se disent aussi touchés.
L’ampleur de l’incident est-elle vraiment connue? Près de six mois après la découverte de la faille zéro-day de MOVEit, le nombre exact de clients MOVEit Transfer impactés reste inconnu. Néanmoins, la société de cybersécurité Emsisoft rapporte que 2 546 organisations ont jusqu’à maintenant confirmé être touchées, affectant plus de 64 millions d’individus.
Qui a été le plus touché? De nouvelles victimes continuent de se faire connaître. Récemment, Sony a confirmé que plus de 6 000 employés ont vu leurs données examinées lors d’un incident lié à MOVEit, et Flagstar Bank a révélé que plus de 800 000 dossiers clients avaient été volés.
Y a-t-il eu d’autres incidents de cyber sécurité liés à Progress Software? La réponse est oui. La société s’attend à des coûts supplémentaires de 4,2 millions de dollars relatifs à un incident distinct survenu en novembre 2022. Les détails de cet incident n’ont pas été dévoilés, mais un porte-parole a confirmé une intrusion non autorisée dans le réseau de l’entreprise, avec preuve d’exfiltration de données.
La société reste-t-elle opérationnelle malgré ces incidents? Progress Software confirme s’être maintenue en activité complète tout au long de l’incident de 2022, qui n’était pas lié à de « récentes vulnérabilités logicielles rapportées ». Environ 3 millions de dollars d’indemnisations d’assurances ont été reçues suite à cet incident.
Source : Techcrunch