Imperva est l’une des entreprises en cybersécurité en tête de classement concernant les solutions de pare-feu applicatif web (Web Application Firewall – WAF). Ce mardi 27 août, l’entreprise a dévoilé avoir pris connaissance de l’exposition de données clientes sensibles dans un communiqué sur son blog.
L’entreprise souligne que seule une partie des clients de la solution « Cloud WAF » (aussi connue sous la dénomination Incapsula) serait impactée par cette exposition de données. Parmi les données accessibles :
- Adresses mail ;
- Mots de passe salés et hachés ;
- Clés d’API ;
- Certificats SSL/TLS fournis par les clients ;
L’entreprise aurait appris, le 20 août par un parti tiers d’une exposition de données sensibles qui impacterait une partie des clients de la solution « Cloud WAF / Incapsula » remontant à septembre 2017. Le bulletin d’incident ne précise pas si les données ont pu être accédées par des acteurs malveillants, par sécurité, l’entreprise a pris de nombreuses mesures afin de limiter les risques associés à l’utilisation malveillante de ces données et demande aux clients concernés de :
- Changer de mot de passe ;
- Mettre en place une solution d’authentification SSO ;
- Activer l’authentification par second facteur ;
- Générer et mettre en ligne de nouveaux certificats ;
- Générer de nouvelles clés d’API et invalider les anciennes ;
Un attaquant en possession de telles informations pourrait mener à bien des attaques particulièrement importantes. À titre d’exemple, le vol d’un certificat SSL/TLS permettrait à un attaquant en position d’interception sur le réseau de déchiffrer le trafic à la volée afin de dérober les informations y transitant (numéros de cartes, identifiants, messages personnels, données privées, etc.).
Il serait aussi possible d’accéder à l’interface de gestion afin de mettre en liste blanche les adresses d’attaquants ou désactiver complètement la solution, permettant ainsi à leurs charges utiles de passer le pare-feu sans être interceptées ; si des vulnérabilités affectant l’application étaient mitigées par le pare-feu applicatif web, elles seraient alors de nouveau exploitables depuis Internet (ex : injections SQL, de commandes, de code JavaScript [XSS], etc.).
L’entreprise a informé les clients concernés et prévoit de mettre à jour les informations disponibles avec les nouveaux éléments découverts durant l’enquête.
