L’institut Sans, connu pour ses formations en cybersécurité, affecté par une brèche

L’institut Sans, connu pour ses services de formation et de certification en cybersécurité, vient de montrer que même les professionnels du domaine ne sont pas à l’abri d’une compromission, après avoir perdu environ 28 000 éléments de données personnelles lors d’un incident survenu après qu’un seul membre du personnel ait été piégé par une attaque de hameçonnage.

L’organisation, qui a acquis la réputation d’être l’une des plus importantes sources de formation de sécurité dans le monde, a découvert la fuite le 6 août 2020, alors qu’elle procédait à un examen systématique de la configuration et des règles de sa messagerie électronique.

Au cours de ce processus, son équipe informatique a repéré une règle de transfert automatique de messages suspecte, explique l’institut dans un billet de blog. Au total, cette règle a conduit au transfert de 513 courriels reçus par l’unique compte de messagerie compromis, vers une adresse électronique externe inconnue.

La plupart de ces courriels étaient inoffensifs, mais un certain nombre d’entre eux comprenaient des fichiers contenant des données telles que des adresses électroniques, des noms et prénoms, des intitulés de fonction, des noms et coordonnées de sociétés, des adresses et des pays de résidence. Aucune information financière n’était incluse, et le Sans a déclaré qu’il avait rapidement mis fin à toute nouvelle divulgation d’informations.

Dans son billet de blog, l’institut explique avoir « identifié un unique e-mail de phishing comme étant le vecteur de l’attaque. Ce courriel a eu pour conséquence d’affecter le compte de messagerie d’un seul employé. Hormis l’utilisateur concerné, nous pensons actuellement qu’aucun autre compte – ou système – de Sans n’a été compromis ». Cet e-mail a en fait réussi à pousser l’utilisateur visé à installer une extension malicieuse pour Office 365, laquelle a assuré la mise en place de la règle de transfert.

Plus loin, l’institut indique avoir « identifié les personnes dont les informations ont été exposées et nous les avons informées ou les informerons de l’incident par courrier électronique. Vous n’avez pas besoin de prendre d’autres mesures que de continuer à être vigilant comme vous le seriez normalement, surtout en ce qui concerne les communications non sollicitées ».

En rendant public cet incident, l’institut a indiqué vouloir partager les enseignements qu’il en aura retirés. Chose promise, chose due : le Sans a mis en ligne ce jeudi 13 août les fruits détaillés de son enquête interne, indicateurs de compromission à l’appui. Le tout dans l’espoir « d’aider la communauté à détecter et répondre à des attaques similaires ». Une initiative qui n’a pas manqué d’être saluée par plusieurs experts.