Depuis quelque temps, SecuriteOff s’intéresse aux entreprises françaises qui proposent des services dans le domaine de la cybersécurité. L’une des plus importantes dans ce secteur est Sogeti, filiale de la multinationale Capgemini (140 000 personnes dans plus de 40 pays). Sur son site, Sogeti se présente comme « l’un des leaders des services technologiques et du test logiciel ». Cette filiale et sa maison mère présentent-elles des failles. Oui !
Par Alexandre Denjean
Je me suis donc intéressé à cette entreprise. Au premier abord, SOGETI semble bien au courant des risques liés à la sécurité informatique. Normal me direz-vous puisque c’est son fonds de commerce. D’ailleurs, c’est très clairement indiqué sur le site : « Nous proposons des services de sécurité de bout en bout intégrant conseil, protection et surveillance pour protéger votre entreprise. » Comme le dit ce vieil adage : les conseilleurs ne sont pas les payeurs. Voici ce que j’ai trouvé…
Des documents sensibles non protégés
Je n’aurais jamais pensé que des informations relatives à Sogeti, et surtout à Capgemini, soient disponibles aussi facilement. Le plus critique étant la maison mère qui laisse à disposition des documents comme, entre autres, la liste des membres du conseil d’administration, les actionnaires et surtout le nombre de part qu’ils disposent. Comme vous pourrez le voir sur la capture d’écran ci-dessous, cette faille dans la protection des données est plus que grave.
Même si le document date de 2012, il reste intéressant surtout au niveau des implications des autres membres du conseil dans les autres entreprises.
Il est également possible de trouver un document nommé « comptes_consolidés_2013.pdf ». Bien que ce document ne semble pas très secret, il revêt un certain intérêt quand on travaille comme moi dans le renseignement économique. On y trouve aussi un document relatif aux honoraires des commissaires aux comptes, un document très intéressant sur la rémunération du PDG M. Hermelin , ou plus amusant un dossier de lobbying pour l’industrie du nucléaire.
Sécurité des employés et collaborateurs inexistante
Chez Sogeti, les documents sensibles sont relativement bien protégés. Mais c’est loin d’être le cas pour les employés. En effet, il est assez simple de récolter la liste des adresses email de l’entreprise et surtout des collaborateurs externes. En continuant la recherche, j’ai pu trouver assez facilement les identités des propriétaires des adresses email et, pour finir, suffisamment d’informations personnelles pour qu’elles soient exploitables pour nuire directement à l’entreprise.
Même si certains cadres n’apparaissent pas dans la recherche, attaquer via un employé peu prudent dans la diffusion de ses informations personnelles est souvent la méthode la plus efficace. Étonnant qu’un des fleurons de la cybersécurité française soit aussi peu consciencieux… Comme Sogeti est une filiale de Capgemini, il est assez simple là aussi de trouver les adresses email du groupe.
Conclusion
En France, l’excellence du diplôme mise en avant lors du recrutement (au risque de me répéter…) cache en fait d’énormes lacunes en matière de protection de l’information. Cet audit réalisé en un après-midi n’a pas été poussé à son maximum. Je n’ose imaginer ce qu’il est possible de trouver en prenant son temps. Une attaque menée comme une opération militaire (au sens organisationnel) aurait des conséquences catastrophiques pour le groupe Capgemini.
Les entreprises étrangères travaillant dans le même secteur d’activité n’ont aucun souci à se faire vu que les informations sont disponibles en toute légalité. Aucun risque d’être accusées d’espionnage…