Grosse bourde chez VirusTotal. Comme l’ont révélé les deux médias allemand et autrichien Der Spiegel et Der Standard, ce service en ligne d’analyse de fichiers malveillants appartenant à Google Cloud a diffusé brièvement par erreur le 29 juin une liste de 5600 clients qui n’avait pas vocation à être publique.
Excuses
Selon Google Cloud, interrogé par les journalistes, un employé de VirusTotal a involontairement mis en ligne ce fichier CSV, qui comptait « des informations limitées » sur les clients Premium – le nom de leur organisation, leurs groupes VirusTotal ainsi que les adresses e-mails des administrateurs. Le document, accessible uniquement aux partenaires et entreprises clientes, a été supprimé de la plateforme « dans l’heure qui a suivi sa mise en ligne », précise la filiale de la firme de Mountain View, qui s’est excusée vendredi dans un communiqué.
La fuite peut paraître anecdotique et d’un impact très limité. Sauf que les chercheurs en sécurité informatique peuvent chercher à rester discrets pour travailler le plus sereinement possible. Le pedigree des personnes enregistrées dans ce fichier, manifestement des experts en sécurité informatique de la NSA et du Cyber Command américains, ainsi que des services de renseignement allemands, donne également une certaine envergure à cette fuite.
Adresses françaises
Selon Der Spiegel, la police fédérale américaine, le FBI, des organisations officielles néerlandaises et anglaises sont aussi concernées par le leak. The Record est à ce sujet plus précis: il s’agirait de personnels du Cert-Uk, une entité rattachée au GCHQ. Ce dernier média signale également la présence d’adresses mail françaises dans cette liste, tout comme des courriels d’une quinzaine de pays, même si l’on ignore précisément quelles organisations hexagonales étaient concernées.
« Depuis cet incident, nous avons mis en place de nouveaux processus internes et contrôles techniques pour améliorer la sécurité et la sauvegarde des données clients », précise VirusTotal. Une entreprise bien consciente que ce genre d’incident nuit gravement à la confiance.