gastronovi Office a été examiné de près par l’équipe CERT du Chaos Computer Club (CCC)

Toutes les failles mises au jour ont été immédiatement corrigées

Le week-end du 8 août 2020, nous avons constaté une cyberattaque menée par l’équipe Chaos Emergency Response Team (CERT) du Chaos Computer Club (CCC). Les hackers ont réussi à déceler des failles de sécurité dans l’un de nos systèmes.

Quelle était la cible de l’attaque ?

La cible principale de l’attaque était l’enregistrement des clients, processus récemment introduit en raison du virus COVID-19. Les membres du CCC ont pu consulter les données relatives à ces clients. Aucun compte français n’est cependant concerné.

En tant qu’entreprise, gastronovi attache une importance particulière à la protection des données et à la sécurité informatique. La fonctionnalité et la sécurité des nouvelles fonctions sont donc systématiquement testées avant leur mise sur le marché. Malgré des contrôles réguliers – également menés avec le soutien de prestataires de services externes spécialisés par le biais de tests dits d’intrusion – nous n’étions à ce jour pas au courant des failles de sécurité mises au jour par le CCC.

Comment la société gastronovi a-t-elle réagi ?

Information importante pour nos clients : dans les 2 heures qui ont suivi la notification de l’analyse du CCC, nous avons pu entièrement éliminer les failles dans gastronovi Office. En outre, suite à l’avis du CCC, nous avons testé notre système de fond en comble quant à une éventuelle exploitation antérieure de ces failles de sécurité. Le résultat est le suivant : les failles de sécurité ont été découvertes exclusivement par les hackers du CCC. Les données de nos clients et celles de vos hôtes n’ont donc à aucun moment été utilisées de manière abusive !

Même si nous pouvons supposer que les données récupérées par le Chaos Computer Club ne sont pas tombées entre de mauvaises mains – étant donné que ce type de divulgation ne s’inscrit ni dans leur style ni dans leur façon de procéder et que nous entretenons un dialogue constructif avec les experts en piratage informatique – nous avons signalé cet incident aux autorités responsables de la protection des données, conformément à nos obligations.

En outre, nous avons proposé un test d’intrusion de l’ensemble du système, qui est normalement prévu pour cet automne. Hormis le CCC et l’équipe chargée de leurs recherches, nous n’avons relevé aucun accès non autorisé.

Nous voudrions profiter de cette occasion pour remercier le CCC d’avoir attiré notre attention sur ces failles de sécurité, que nous avons pu corriger immédiatement ! Nous avons également volontiers tenu compte des suggestions d’amélioration supplémentaires. Dans le même temps, nous avons également fait vérifier notre système par un autre prestataire externe indépendant en ce qui concerne les failles de sécurité citées par le CCC, qui a confirmé que ces failles avaient entièrement été résolues.

Qu’est-ce que le Chaos Computer Club ?

Le Chaos Computer Club e.V. s’occupe depuis plusieurs dizaines d’années de tous les sujets concernant la sécurité des ordinateurs et des réseaux. À cette fin, les membres (experts en informatique) analysent constamment les offres et les systèmes de diverses entreprises et organisations de leur propre initiative. L’accent est toujours mis sur la protection des utilisateurs contre les éventuelles failles de sécurité dans les systèmes informatiques. À cette fin, les membres du CCC ont mis le système concerné à l’épreuve en le « piratant ». L’équipe Chaos Emergency Response Team (CERT) est l’équipe médicale et de protection incendie du Chaos Computer Club. Ce groupe s’occupe volontairement des soins médicaux et de la sécurité lors des événements du CCC.