Un ancien responsable de la cybersécurité d’IBM a accusé l’entreprise d’avoir été piratée à trois reprises au cours de la décennie précédente par des gouvernements étrangers, puis d’avoir dissimulé les violations.
Dans un procès non scellé cette semaine mais déposé en 2020, William Barlow, qui était vice-président du renseignement sur les menaces chez IBM jusqu’en août 2019, a déclaré qu’IBM avait conclu que des pirates chinois avaient violé son réseau central entre 2013 et 2016, mais que la société avait ensuite dissimulé les violations et ne les avait jamais divulguées. Barlow a également déclaré qu’au moins deux filiales d’IBM avaient également été victimes d’une violation et qu’IBM avait également dissimulé ces violations.
Barlow a allégué dans sa plainte que le réseau central d’IBM était « régulièrement piraté par des acteurs étatiques étrangers et d’autres », ajoutant que les données étaient fréquemment volées et que les agences gouvernementales n’étaient « jamais informées ».
Bien que les violations présumées remontent à plus d’une décennie, l’actualité montre que les cyberattaques, même celles qui touchent de grandes entreprises technologiques publiques telles qu’IBM, ne sont parfois jamais divulguées, ni au public ni aux autorités gouvernementales compétentes. IBM est un fournisseur majeur de cybersécurité du gouvernement fédéral américain, ce qui rend la prétendue dissimulation particulièrement significative. Au cours des dernières années, plusieurs lois sur la notification des violations de données ont été adoptées pour lutter contre ce problème.
Bloomberg a été le premier à rendre compte du procès.
Le porte-parole d’IBM, Miki Carver, a refusé de répondre à des questions spécifiques sur le procès et les accusations sous-jacentes. Au lieu de cela, Carver a déclaré à TechCrunch : « Cette plainte a été déposée il y a six ans et le ministère américain de la Justice a refusé d’intervenir. IBM est convaincu que nos actions ont suivi la lettre de la loi. »
En particulier, Barlow a déclaré qu’IBM faisait partie des nombreuses victimes d’une campagne de piratage menée par APT 10, un groupe lié au gouvernement chinois qui, selon Christopher Wray, alors directeur du FBI, avait ciblé le « Who’s Who » de l’économie mondiale lorsque ses membres ont été inculpés en 2018. Les pirates ont pénétré à la fois dans le réseau de l’entreprise et dans les données qu’elle y conservait en partenariat avec AT&T.
Barlow a allégué qu’en mars 2017, des responsables du renseignement d’Australie, du Canada, de Nouvelle-Zélande, des États-Unis et du Royaume-Uni – la soi-disant alliance Five Eyes – avaient averti IBM de la violation, ce qui avait déclenché une enquête interne.
Selon la plainte, l’enquête a conclu que l’APT 10 avait potentiellement violé le réseau d’IBM plus de 56 000 fois entre 2013 et 2016. Surtout, la société a déclaré qu’elle ne pouvait pas enquêter davantage car elle n’avait pas tenu de registre indiquant qui a accédé à son réseau et quand – une pratique de sécurité de base.
IBM n’aurait alors alerté aucune autorité ni le gouvernement américain, l’un de ses principaux clients.
« Comme l’infrastructure des réseaux centraux d’IBM et d’AT&T est archaïque, les pirates ont pu accéder au système à de nombreuses reprises et peuvent se déplacer presque n’importe où sans être détectés », peut-on lire dans la plainte, qui explique que l’enquête interne d’IBM a conclu que quatre serveurs ont été compromis lors de la campagne de piratage APT 10.
« Les attaquants ont compromis et/ou accédé à près de 400 comptes compromis et à près de 200 systèmes et serveurs au total dans toutes les unités commerciales d’IBM, dix-huit pays et plusieurs produits IBM », indique un rapport interne d’IBM sur l’enquête sur la violation, selon la plainte.
Jason Brown, un avocat représentant Barlow, a déclaré à TechCrunch que son cabinet était « impatient de plaider cette affaire de manière agressive ».
« Vous ne pouvez pas vendre la cybersécurité au gouvernement fédéral tout en étant confronté à ces problèmes de sécurité au sein de votre propre entreprise », a déclaré Brown.
Selon Barlow, d’autres violations dont il avait connaissance ont affecté Trusteer, une startup de cybersécurité acquise par IBM en 2013, qui, selon lui, a été violée en 2018 ; et Truven, une startup de données de santé acquise par IBM en 2016, qui, selon lui, a été violée à plusieurs reprises après l’acquisition.
Dans les deux cas, Barlow a accusé IBM de ne pas avoir correctement enquêté et divulgué ces violations.
Lorsque vous achetez via des liens dans nos articles, nous pouvons gagner une petite commission. Cela n’affecte pas notre indépendance éditoriale.
