« Un lundi au bureau, tout est sous contrôle… sauf quand c’est Workday qui dérape ! » Oui, c’est un triste jeu de mots, mais croyez-moi, ce piratage n’a rien de drôle, du moins pour les victimes. Dans le monde merveilleux (et stressant) des RH, personne n’est à l’abri d’un bon vieux coup de phishing. La firme Workday, que tout le monde connaît pour ses solutions RH tout-en-un, vient de voir ses données client filer plus vite qu’un bulletin de paie mal adressé.
Vendredi dernier, alors que la plupart d’entre nous rêvaient de leurs vacances ou des prochaines augmentations, Workday publiait discrètement, sur son blog, un aveu pas très glorieux : des pirates ont tiré profit d’une faille chez l’un de leurs prestataires, chippant ainsi des informations personnelles, noms, numéros et adresses email. En gros, si votre supérieur vous demande votre NIP par WhatsApp, restez méfiant…
Par contre, n’imaginez pas tout de suite des hackers en train de fouiller vos fiches de paie ou de relire vos évaluations annuelles les plus gênantes. Workday insiste : « Nous n’avons aucune preuve d’un accès à vos espaces clients sécurisés » — mais reconnaissons-le, ils ne disent pas non plus que c’est impossible. Oui, c’est flou, et ça laisse à chacun le loisir d’imaginer le pire… ou pas.
Même les géants des RH peuvent trébucher sur une mauvaise journée… ou un mauvais Workday !
Pourquoi tant de prudence dans leur annonce ? Peut-être parce que la scène tech est constellée de cas similaires ces derniers mois. Après tout, Workday n’est pas la seule à voir ses bases de données partir en balade : Google, Cisco, Qantas, Pandora… Ça ressemble à une réunion Tupperware du hack, mais avec vos infos plutôt qu’avec des saladiers.
Les experts pointent du doigt le groupe ShinyHunters, professionnel du « voice phishing », ou comment berner les employés avec quelques mots bien placés au téléphone. Leur business model ? Vendre les données ou faire chanter les entreprises. Le cybercrime, c’est plus rentable qu’un coaching RH, apparemment…
Face à la presse, Workday fait le mort : impossible de savoir qui a exactement vu ses données aspirées, ni combien de victimes sont concernées. On espère qu’ils ne planifient pas de faire disparaître l’information comme ils ont dissimulé leur post sur le blog : masqué aux moteurs de recherche, ni vu ni connu ! Un petit tour dans la corbeille de Google, ni vu, ni repéré.
Ainsi va la vie numérique : ce n’est pas parce qu’on n’en parle pas que les cyber-ennuis disparaissent. Si travailler dans les RH, c’est gérer l’humain, débuter la rentrée avec une fuite de données, c’est franchement inhumain… Mais rassurez-vous, si une fuite de Workday vous empêche de dormir, c’est le moment idéal pour… prendre une journée de congé !
Source : Techcrunch
