« Ce n’est pas un bug, c’est une fonctionnalité ! » Voilà une phrase qui fait sourire tous les geeks… Sauf quand ce “bug” décide de partager vos données confidentielles avec vos voisins. Cette fois, c’est chez Vanta, l’expert en conformité, que la fonctionnalité surprise a frappé, laissant quelques centaines d’entreprises un peu moins sereines qu’à l’accoutumée.
C’est le 26 mai dernier que Vanta a identifié une anomalie dans la matrice : suite à un changement de code (eh oui, même les lignes de code font des blagues), les informations privées de certains clients ont voyagé – involontairement – vers d’autres clients. Mais que les pirates restent dans leur grotte : il ne s’agissait pas d’une intrusion externe, mais bien d’une coquille logicielle maison.
Pour les amateurs de statistiques, voici le menu du jour : “moins de 4%” des clients concernés, selon Jeremy Epling, le chef produit de Vanta. Cela dit, avec les plus de 10 000 clients affichés fièrement sur leur site, on parle quand même de plusieurs centaines d’entreprises qui ont pu recevoir, à l’insu de leur plein gré, des infos comme des noms d’employés, des rôles, et des détails sur des outils, notamment la configuration de l’authentification à double facteur. Un vrai buffet à volonté… mais pas celui dont on rêve !
Parfois, la confidentialité ne tient qu’à une ligne de code… qui déraille.
Un client touché a expliqué à TechCrunch qu’il avait reçu une alerte : ses propres données, mais aussi celles de ses employés, avaient fait un détour chez d’autres clients, et vice versa. Les informations partagées ne seraient pas “très” sensibles, mais il est douteux que les sushis de la sécurité informatique soient meilleurs quand ils sont servis à tous les voisins de table.
Du côté de Vanta, on préfère cultiver le mystère : aucune précision officielle sur la nature exacte des données et, bien sûr, silence radio sur le fait de savoir si les équipes internes ont aussi vu leurs infos dans le manège des échanges. À l’heure d’écrire ces lignes, la société indique que la correction devrait être terminée d’ici le 4 juin.
Petit rappel pour conclure : tout cela n’empêche pas la startup Vanta d’attirer les gros chèques, avec plus de 350 millions de dollars levés ces dernières années, dont 150 millions bouclés en juillet 2024. De quoi s’acheter un bon antivirus… ou mieux relire son code !
Alors, entre “compliance” et “comedy of errors”, Vanta prouve que la sécurité : ce n’est jamais gagné d’avance. Mais au moins, cette fois, le bug n’était qu’un passager clandestin en première classe… et pas un hacker en mode ninja !
Source : Techcrunch
