Interrogations autour des pratiques de sécurité de Nasdaq OMX  

Début février, Nasdaq OMX, l’opérateur du marché américain des valeurs technologiques, a reconnu le piratage, à l’automne 2010, des serveurs abritant son application Web Directors Desk, permettant aux entreprises de stocker et de partager de l’information. Les plateformes pour exécuter les ordres passés n’avaient pas été compromises et l'opérateur d’assurer, alors, «qu’il n’y a aucune preuve d’accès ou de récupération de données des utilisateurs de Directors Desk ».

Le Nasdaq étant considéré comme un élément d’infrastructure critique outre-Atlantique, le FBI a été chargé de l’enquête. Selon nos confrères de Reuters, les enquêteurs ont découvert avec surprise «des logiciels dépassés, des pare-feux mal configurés, et l’absence d’application de certains correctifs de sécurité qui auraient corrigé des failles connues ». Et de prendre l’exemple de Windows Server 2003, «qui n’avait pas été mis à jour correctement ». Toutefois, le FBI aurait découvert une infrastructure sûre et bien protégée des pirates pour l’exécution et le passage d’ordres de transactions. 

De son côté, Nasdaq OMX a réfuté tout «laxisme», soulignant «qu’il aurait été virtuellement impossible de se défendre contre des pirates utilisant des logiciels malveillants inconnus» et affirmant avoir été victime «d’une attaque sophistiquée ». Les sources citées par Reuters reconnaissent la découverte de logiciels malveillants «complexes et insidieux» mais assurent que «des mesures de sécurité plus strictes et une vigilance accrue auraient aidé l’entreprise à détecter l’intrusion plus rapidement ».