Razer : fuite de données, l'erreur à 10 millions de dollars de Capgemini

Publié le 29 juillet 2022 à 17h30

Razer était client de Capgemini depuis 2019. © Razer

Sale temps pour la firme française Capgemini, dont le procès contre Razer se poursuit depuis deux semaines devant la Haute Cour de justice de Singapour.

L'ex-employé de Capgemini suspecté d'avoir permis malgré lui une fuite majeure de données de Razer, a changé sa version des faits au cours du procès.

Un accord serait en passe d'être trouvé entre les deux parties

C'est un procès important qui se tient depuis le 13 juillet dernier au sein de la Haute Cour de justice de Singapour. Capgemini y est attaqué pour avoir divulgué les données de 100 000 clients de la firme Razer en libre accès sur le Net, dévoilant également l'ensemble des produits développés par Razer et appelés à rejoindre le marché au cours des deux dernières années.

Le préjudice, estimé à 7 millions de dollars américains par l'entreprise d'informatique singapourienne, pourrait selon nos informations faire l'objet d'un terrain d'entente entre les deux parties. Un accord à l'amiable autour d'une somme équivalente à 10 millions de dollars américains pourrait être trouvé prochainement.

Il faut dire que l'avancée de la procédure est rendue relativement délicate par le changement de version, intervenu le 21 juillet dernier, du désormais ex-employé de Capgemini, M. Argel Cabalag, suspecté d'avoir commis l'erreur menant à cette fuite.

En effet, ce dernier a longtemps nié en bloc être responsable d'une mauvaise manipulation étant à l'origine de la fuite, ce qui n'est plus le cas désormais. Un rapport remis le 24 juin dernier par un expert en cybersécurité mandaté par Razer pointe du doigt une potentielle culpabilité de M. Cabalag.

À l'origine se trouve l'ajout d'un hashtag dans la ligne de code

L'incident initial remonte à plus de deux ans en arrière, le 18 juin 2020. À cette date, Argel Cabalag est responsable tech de Capgemini. Son client, Razer, éprouve des difficultés à régler un problème avec un serveur de la suite ELK, conseillée par Capgemini. M. Cabalag, en tentant de le résoudre, aurait par mégarde ajouté un dièse (#) dans la ligne de code de l'application Kibana, cette dernière assurant la sécurité de la suite ELK. Une erreur de configuration engendrée dans une courte fenêtre de 16 minutes qui pourrait donc coûter cher à Capgemini, sachant que M. Cabalag a nié pendant très longtemps avoir agi de la sorte auprès de sa direction d'alors.

La brèche aurait pourtant été connue de Razer dès le mois d'août 2020, sans réaction pour autant, puis a été repérée le 9 septembre 2020 par un consultant en sécurité indépendant. C'est ce dernier qui a estimé le nombre de données clients rendues publiques, tout en assurant que des informations sensibles telles que les données bancaires des clients de Razer, n'ont pas été diffusées.

Argel Cabalag était parvenu, dans la journée du 10 septembre 2020, à combler la faille de sécurité. Les divergences entre Capgemini et Razer autour de leur responsabilité potentielle dans cette affaire pourraient donc trouver une issue favorable par le potentiel accord à l'amiable.

Sources : The Straits Times, Today Singapore

Par Thibaut Keutchayan

Je m'intéresse notamment aux problématiques liant nouvelles technologies et politique tout en m'ouvrant à l'immense diversité des sujets que propose le monde de la tech' quand je ne suis pas en train de taper dans un ballon.

Articles de Thibaut Keutchayan

Cybersécurité

Razer

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

Adrift

Franchement, les accidents, ca arrive…
Ils avaient qu’a pas faire du pas cher avec Capgemini…

kast_or

J’imagine que ce hashtag (#) commentait une ligne de configuration.
Du genre:
#secured=true

Aegis

Tout à fait d’accord. Les erreurs arrivent et doivent être excusées.
Par contre, mentir et dissimuler des éléments importants pour l’investigation, c’est une autre histoire.

Nmut

Comme souvent, le problème n’est pas le type qui a fait l’erreur, mais comment elle a pu passer, surtout après une manip sur un truc sensible, et pourquoi le type tenait tant à se disculper, quitte à mettre encore plus le bazar.
Pour moi, Cap est bien plus fautive que le type. Et pas sûr que la presta ait été vendue au rabais, tu as aussi des failles de procédure (les procédures ou l’application de celles-ci → formation, suivi et contrôle) sur des prestas haut de gamme! :-P.

lnho

C’est beau l’absence de responsabilité individuelle portée aux nues par notre société, qui a contrario, est de plus en plus individualiste. Le fautif doit morfler et sévèrement. Son employeur aussi.

xryl

C’est incompréhensible comme article. Le dièse a été mis pendant 16min seulement, et durant ce laps de temps phénoménal, une fuite de 7 millions de dollars (comment ? Razer n’est pas une banque) mais que Cap Gemini accepterait de rembourser 10 millions de dollars (pourquoi ?) serait survenue. Mais Razer le sait jusqu’en août 2020 (de quoi k’on parle là ?) et a été repéré en septembre 2022 (kézako?).

Donc soit Razer est schizo, puisque s’il le sait jusqu’en août 2020, il l’oublie jusqu’en 2022 ?

Soit c’est une fuite de donnée client et donc sans valeur monétaire (surtout que l’article précise que les données bancaires n’ont pas été diffusées), soit c’est une fuite de capitaux mais là rien n’est indiqué dans l’article.

Soit le journaliste qui a copié les lignes via google translate a rien pigé et donc on comprend rien non plus dans son charabia.

Bombing_Basta

Il n’y a que ceux qui ne font jamais rien, qui ne font jamais d’erreurs…

Et en tapant sur les executants qui font des erreurs, faut pas s’étonner de les voir dissimuler leurs erreurs.

« faut trouver une solution, pas un responsable »

Le « fautif » il me semble qu’il est déjà en train de morfler sévère, et morflera toute sa vie, vu que son nom va être blacklisté partout après une telle affaire, peu importe la sanction qu’il va prendre au procès.

Et surtout, comme souligné au dessus, quand il s’agit d’un point sensible comme ça, on ne laisse pas une seule personne sur le coup, l’erreur est humaine, l’absence de vérification par un tier est une lacune.

Nmut

On arrête pas de taper sur les patrons, mais c’est marrant de voir que le peuple est pire!
Si tu veux que ta boite marche bien, ce n’est pas de trouver un coupable qui la fera avancer, mais bien de trouver POURQUOI il y a eu une erreur et comment l’éviter et/ou limiter l’impact des erreurs.

K702

Je pense plutôt qu’après avoir enquêté suite à la fuite de données ils ont pu définir une fenêtre de 16 minutes durant laquelle a été ajouté le fameux « # » à l’origine du bordel et qu’après vérification un seul employé était en train de travailler le système à ce moment là. Et du coup le système a été en mode open bar pendant plusieurs mois suite à ce malencontreux ajout de "#’.

D’ailleurs c’est juste un # qui a été ajouté, pas un hashtag.

Muggsy68

Et tu dis comment dièse en anglais gros malin ?