WAF : chez Imperva, un incident expose des données clients

Les détails relatifs à l’incident sont pour l’heure limités. Mais il est clair que les clients d’Imperva vont devoir prendre des précautions significatives pour se protéger. Le spécialiste de la protection des applications Web (WAF) vient ainsi d’annoncer que les données d’un « sous-ensemble » de clients de son offre WAF en mode cloud, avaient été exposées. Le groupe indique avoir appris la mauvaise nouvelle le 20 août. Certains de ses clients en date du 15 septembre 2017 et avant sont concernés.

Selon Imperva, des adresses e-mail, des condensats salés de mots de passe sont touchés, de même, dans certains, que des clés d’API et des certificats SSL fournis par les clients. Le groupe indique forcer la réinitialisation de tous les mots de passe qui n’ont pas été utilisés durant 90 jours et contacter directement les clients concernés. Il recommande également à l’ensemble de sa base installée de changer de mots de passe, ne serait-ce que par précaution, ainsi que de réinitialiser les clés d’API, générer de nouveaux certificats SSL, ou encore activer l’authentification à double facteur.

Chris Hylen, Pdg d’Imperva, indique que l’enquête sur l’incident se poursuit, notamment avec l’aide d’experts externes en criminalistique. Il souligne également que les autorités compétentes ont été informées. Mais à lire entre les lignes, on comprend que la cause de l’exposition de ces données reste à déterminer.

Sur Twitter, l’expert Kevin Beaumont relève que la compromission des certificats SSL n’est pas anodine et pourrait potentiellement permettre à des acteurs malveillants d’intercepter des flux chiffrés. Rich Mogull, PDG de Securis, va plus loin, en évoquant les risques additionnels associés à la menace d’accès non autorisés aux données de configuration du service : « rediriger le trafic vers une nouvelle destination, placer en liste blanche des adresses IP pour échapper au WAF, modifier les réglages de sécurité ».

John Adams, Pdg de Waratek, estime que le nombre de clients concernés pourrait être élevé, Imperva comptant parmi les principaux fournisseurs de services WAF en mode cloud. Et de souligner que si adresses e-mail et mots de passe « peuvent être changés de manière relativement aisée », les choses peuvent être plus compliqués pour les clés API et les certificats SSL : là, il est probablement nécessaire de « mettre à jour et redéployer en production tous les services Web qui interagissent sur ces canaux d’API. C’est une tâche considérable et très perturbatrice ». Pour autant, les choix sont limités : « une fois que les clés d’API et les certificats SSL sont dans la nature, il n’y a pas d’autre option que de les jeter et en créer d’entièrement nouveaux ».

Avec nos confrères de Searchsecurity.com (groupe Techtarget)