Brèche de sécurité : Wipro enquête sur ce qui pourrait être une nouvelle attaque par rebond

Il n’aura pas été facile pour Wipro de le reconnaître, mais la SSII indienne s’est malgré tout résolue : « nous avons détecté une activité anormale sur quelques comptes d’employés en raison d’une campagne de hameçonnage avancée », a ainsi indiqué Wipro à nos confrères de Reuters à Bangalore. Plus tôt, Brian Krebs avait rendu l’information publique, recoupée entre plusieurs sources anonymes.

Mais notre confrère va bien plus loin que la communication officielle de Wipro. Selon lui, il s’agit là d’une intrusion survenue il y a plusieurs mois, qui pourrait être l’effet d’un attaquant à la solde d’un état-nation. Surtout, les sources de Brian Krebs laissent à penser que la SSII n’a pas découvert l’intrusion elle-même, mais par des clients qui auraient remonté la trace d’activités de reconnaissance dans leur environnement jusqu’à des systèmes communiquant directement avec le réseau de Wipro. Selon l’une des sources de notre confrère, au moins 11 entreprises clientes de la SSII indienne auraient été affectées.

Wipro a présenté les résultats du dernier trimestre de son exercice fiscal 2018-2019 ce mercredi 16 avril. Son communiqué de presse, ses résultats financiers consolidés et son information à destination des analystes ne font aucune référence à l’incident. Et cela même si la SSI l’a reconnu en amont de cette publication. Ce point est en lui-même remarquable : traditionnellement, les entreprises indiennes se refusent à toute communication publique pendant les quelques semaines précédant la publication de leurs résultats trimestriels.

Toutefois, le sujet a été abordé lors de la conférence téléphonique avec les analystes, l’un d’entre eux soulignant que le sujet peut avoir un impact sur les performances commerciales de Wipro et sur sa réputation. La SSII semble chercher à laisser entendre qu’elle a découvert l’incident elle-même, sans toutefois l’affirmer ouvertement. Elle indique ainsi examiner 4,8 millions d’alertes par an et que les comptes utilisateurs affectés ont été identifiés et isolés. Des mesures ont en outre été prises pour « contenir l’incident et en minimiser les effets potentiels ». Pour l’enquête, Wipro indique s’appuyer sur ses ressources internes et sur son « écosystème de partenaires ». L’incident aurait impliqué un « maliciel inédit » et « une poignée de clients » ont été informés.

Wipro Statement pic.twitter.com/Z7bPKpzJtC

— Wipro Limited (@Wipro) April 16, 2019

Des propos repris mot pour mot dans une déclaration publiée par la SSII sur son fil Twitter. A un détail près : pour Wipro, tout ce qui a pu être écrit par Brian Krebs n'est pas forcément exact, « comme vous pouvez l'imaginer », a-t-il été lancé à l'adresse des analystes.