Un géant de la technologie, connu pour garantir la sécurité des interfaces de programmation d’applications (APIs), a-t-il failli à sa tâche la plus élémentaire : protéger ses propres données ? Telle est la question qui tourmente aujourd’hui APIsec, une entreprise spécialisée dans les tests de sécurité des APIs. Comment une base de données interne a-t-elle pu se retrouver exposée, sans protection par mot de passe, accessible en ligne pendant plusieurs jours ?
Pour comprendre l’ampleur du problème, il faut revenir aux origines du découvert, réalisé par UpGuard, une entreprise de recherche en sécurité. Ce n’est que le 5 mars qu’UpGuard a découvert cette fuite critique, immédiatement signalée à APIsec. La base de données contenait des informations précieuses, remontant jusqu’à 2018, comprenant les noms et adresses email d’employés ainsi que des détails sensibles liés à la sécurité d’entreprises clientes. À quel point cette information aurait-elle pu être utile à des personnes mal intentionnées ?
Les premières déclarations de Faizel Lakhani, fondateur d’APIsec, semblent minimiser cet incident. Selon lui, les données exposées ne représentaient qu’un « jeu de test » destiné au développement et débogage de leur produit. Pourtant, UpGuard a rapidement démenti cette affirmation, soulignant que des informations relatives à de véritables clients étaient bien présentes, telles que les résultats de scans de vulnérabilités des APIs. Qui croire dans cette affaire où les conséquences peuvent être désastreuses pour la réputation d’APIsec ?
La faille de sécurité chez APIsec soulève des questions impératives sur la gestion des données sensibles des entreprises technologiques.
APIsec assure néanmoins avoir sécurisé la base de données suite à la découverte. Cependant, des questionnements persistent : pourquoi une telle négligence ? Lakhani a reconnu une « erreur humaine », mais cela suffit-il comme explication quand des éléments aussi sensibles que des clés privées AWS et des identifiants de compte GitHub sont en jeu ? Ces éléments, appartenant à un ancien employé, ont été déclarés inactifs. Mais pourquoi ces clés étaient-elles toujours présentes ? Ne serait-il pas temps de revoir les protocoles de sécurité en interne ?
Lakhani a finalement admis que certains clients avaient été informés de la fuite de leurs données personnelles. Pourtant, il reste évasif sur la question de la notification des autorités, obligatoire dans le cadre des lois sur les violations de données. Cela laisse planer le doute sur la transparence et la responsabilité de l’entreprise. Est-ce là un standard acceptable dans le secteur des nouvelles technologies ?
Face à cette situation, APIsec se trouve à la croisée des chemins. Comment l’entreprise peut-elle restaurer la confiance de ses clients alors que ses propres contrôles de sécurité ont été mis en échec ? Cette affaire n’est-elle pas le symptôme d’un problème plus large où la tech, malgré ses ressources colossales, reste vulnérable face aux failles humaines ?
Avec la multiplication des cyberattaques et l’importance croissante des APIs dans notre écosystème numérique, ces questions deviennent cruciales. Comment les géants de la tech peuvent-ils mieux protéger les données sensibles qu’ils sont censés sécuriser ? Est-il temps de repenser la protection des infrastructures numériques ?
Source : Techcrunch
