L’entreprise Imperva divulgue une exposition de données sensibles de clients de la solution Incapsula/Cloud WAF

L’entreprise Imperva divulgue une exposition de données sensibles de clients de la solution Incapsula/Cloud WAF

Imperva est l’une des entreprises en cyber sécurité en tête de classement concernant les solutions de pare-feu applicatif web (Web Application Firewall – WAF). Ce mardi 27 août, l’entreprise a dévoilé avoir pris connaissance de l’exposition de données clientes sensibles dans un communiqué sur son blog.

L’entreprise souligne que seule une partie des clients de la solution « Cloud WAF » (aussi connue sous la dénomination Incapsula) serait impactée par cette exposition de données. Parmi les données accessibles :

  • Adresses mail ;
  • Mots de passe salés et hachés ;
  • Clés d’API ;
  • Certificats SSL/TLS fournis par les clients ;

L’entreprise aurait appris, le 20 août par un parti tiers d’une exposition de données sensibles qui impacterait une partie des clients de la solution « Cloud WAF / Incapsula » remontant à septembre 2017. Le bulletin d’incident ne précise pas si les données ont pu être accédées par des acteurs malveillants, par sécurité, l’entreprise a pris de nombreuses mesures afin de limiter les risques associés à l’utilisation malveillante de ces données et demande aux clients concernés de :

  • Changer de mot de passe ;
  • Mettre en place une solution d’authentification SSO ;
  • Activer l’authentification par second facteur ;
  • Générer et mettre en ligne de nouveaux certificats ;
  • Générer de nouvelles clés d’API et invalider les anciennes ;

Un attaquant en possession de telles informations pourrait mener à bien des attaques particulièrement importantes. À titre d’exemple, le vol d’un certificat SSL/TLS permettrait à un attaquant en position d’interception sur le réseau de déchiffrer le trafic à la volée afin de dérober les informations y transitant (numéros de cartes, identifiants, messages personnels, données privées, etc.).

Il serait aussi possible d’accéder à l’interface de gestion afin de mettre en liste blanche les adresses d’attaquants ou désactiver complètement la solution, permettant ainsi à leurs charges utiles de passer le pare-feu sans être interceptées ; si des vulnérabilités affectant l’application étaient mitigées par le pare-feu applicatif web, elles seraient alors de nouveau exploitables depuis Internet (ex : injections SQL, de commandes, de code JavaScript [XSS], etc.).

L’entreprise a informé les clients concernés et prévoit de mettre à jour les informations disponibles avec les nouveaux éléments découverts durant l’enquête.


Références


Clément Mezino

Consultant Cert-XMCO