Razer était client de Capgemini depuis 2019. © Razer
Razer était client de Capgemini depuis 2019. © Razer

Sale temps pour la firme française Capgemini, dont le procès contre Razer se poursuit depuis deux semaines devant la Haute Cour de justice de Singapour.

L'ex-employé de Capgemini suspecté d'avoir permis malgré lui une fuite majeure de données de Razer, a changé sa version des faits au cours du procès.

Un accord serait en passe d'être trouvé entre les deux parties

C'est un procès important qui se tient depuis le 13 juillet dernier au sein de la Haute Cour de justice de Singapour. Capgemini y est attaqué pour avoir divulgué les données de 100 000 clients de la firme Razer en libre accès sur le Net, dévoilant également l'ensemble des produits développés par Razer et appelés à rejoindre le marché au cours des deux dernières années.

Le préjudice, estimé à 7 millions de dollars américains par l'entreprise d'informatique singapourienne, pourrait selon nos informations faire l'objet d'un terrain d'entente entre les deux parties. Un accord à l'amiable autour d'une somme équivalente à 10 millions de dollars américains pourrait être trouvé prochainement.

Il faut dire que l'avancée de la procédure est rendue relativement délicate par le changement de version, intervenu le 21 juillet dernier, du désormais ex-employé de Capgemini, M. Argel Cabalag, suspecté d'avoir commis l'erreur menant à cette fuite.

En effet, ce dernier a longtemps nié en bloc être responsable d'une mauvaise manipulation étant à l'origine de la fuite, ce qui n'est plus le cas désormais. Un rapport remis le 24 juin dernier par un expert en cybersécurité mandaté par Razer pointe du doigt une potentielle culpabilité de M. Cabalag.

À l'origine se trouve l'ajout d'un hashtag dans la ligne de code

L'incident initial remonte à plus de deux ans en arrière, le 18 juin 2020. À cette date, Argel Cabalag est responsable tech de Capgemini. Son client, Razer, éprouve des difficultés à régler un problème avec un serveur de la suite ELK, conseillée par Capgemini. M. Cabalag, en tentant de le résoudre, aurait par mégarde ajouté un dièse (#) dans la ligne de code de l'application Kibana, cette dernière assurant la sécurité de la suite ELK. Une erreur de configuration engendrée dans une courte fenêtre de 16 minutes qui pourrait donc coûter cher à Capgemini, sachant que M. Cabalag a nié pendant très longtemps avoir agi de la sorte auprès de sa direction d'alors.

La brèche aurait pourtant été connue de Razer dès le mois d'août 2020, sans réaction pour autant, puis a été repérée le 9 septembre 2020 par un consultant en sécurité indépendant. C'est ce dernier qui a estimé le nombre de données clients rendues publiques, tout en assurant que des informations sensibles telles que les données bancaires des clients de Razer, n'ont pas été diffusées.

Argel Cabalag était parvenu, dans la journée du 10 septembre 2020, à combler la faille de sécurité. Les divergences entre Capgemini et Razer autour de leur responsabilité potentielle dans cette affaire pourraient donc trouver une issue favorable par le potentiel accord à l'amiable.