Logitech a subi confirmed un incident de cybersécurité suite aux affirmations du groupe de ransomware Cl0p selon lesquelles il aurait volé un important volume de données de l’entreprise. Le fabricant a signalé qu’un acteur non autorisé avait accédé à l’un de ses systèmes internes stockant des informations relatives aux employés, consommateurs, clients et fournisseurs. L’entreprise a déclaré qu’elle ne croyait pas que des catégories sensibles d’informations personnelles, y compris les données financières ou les numéros d’identification nationale, étaient présentes dans l’environnement concerné. Logitech a déclaré que la violation avait été contenue et qu’elle avait lancé une enquête soutenue par des spécialistes externes de la cybersécurité.
Cl0p a listé Logitech sur son site d’extorsion et a affirmé avoir obtenu environ 1,8 téraoctet de données. Le groupe a déjà ciblé des vulnérabilités logicielles sur des plateformes tierces pour accéder aux systèmes d’entreprise. Les enquêteurs pensent qu’une faille récemment révélée dans le logiciel Oracle pourrait être liée à cet incident. Cette vulnérabilité a été exploitée activement et a été associée à plusieurs campagnes liées à Cl0p. Logitech n’a pas confirmé quel logiciel était impliqué, mais a noté qu’une vulnérabilité zero-day tierce a permis cette intrusion.
Selon l’entreprise, l’incident n’a pas perturbé les opérations de fabrication ni les processus de la chaîne d’approvisionnement. Logitech a déclaré que ses systèmes commerciaux restent fonctionnels et que la faille n’a pas eu d’effet significatif sur les prévisions financières. L’entreprise a également indiqué qu’elle dispose d’une police d’assurance cybersécurité qui couvre la réponse aux incidents, l’analyse médico-légale, le soutien juridique et certains coûts réglementaires soumis aux limites de la police. Logitech continue d’évaluer l’étendue des données concernées et prépare des notifications pour les parties prenantes concernées, comme l’exige la loi.
Les chercheurs en sécurité soulignent que les attaques impliquant des logiciels fournisseurs et des composants de la chaîne d’approvisionnement ont augmenté en fréquence. Les groupes de menaces recherchent souvent des failles non corrigées ou nouvellement découvertes dans les outils d’entreprise qui offrent un accès large une fois compromis. Des tactiques similaires ont été utilisées lors d’incidents affectant les plateformes de transfert de fichiers les années précédentes. Ces attaques mettent en lumière la difficulté rencontrée par les organisations pour surveiller la posture de sécurité des fournisseurs de logiciels et maintenir des mises à jour en temps voulu dans des environnements complexes.
Logitech a rapporté qu’elle renforçait les contrôles internes en réponse à cette faille. L’entreprise examine la segmentation des systèmes, les processus d’authentification et les restrictions d’accès pour les applications tierces. Elle évalue également les procédures de gestion des correctifs afin de réduire l’exposition à des vulnérabilités des fournisseurs qui ne sont pas immédiatement visibles. Logitech a déclaré qu’elle continuerait à collaborer avec les autorités et les partenaires en cybersécurité au fur et à mesure de l’avancement de l’enquête. L’entreprise a encouragé les utilisateurs, clients et fournisseurs à rester vigilants face à toute activité inhabituelle des comptes et à suivre les pratiques de sécurité standard pendant la réalisation de son examen.