Le réseau de la société en charge de la place de marché américaine NASDAQ aurait été compromis au cours de l’année dernière par des pirates inconnus. Selon la société NASDAQ OMX, qui gère la plate-forme d’échange, l’intrusion ne concernerait toutefois qu’un service en ligne, le Directors Desk, et non la plate-forme de cotation elle-même.

D’après un article du Wall Street Journal citant une source proche de l’enquête, les intrus n’auraient fait que « regarder sans rien toucher« . Mais ce que ne précise pas le WSJ, qui semble d’ailleurs tout ignorer du Directors Desk et préfère se focaliser sur la plate-forme de cotation, c’est que compte tenu de la nature de ce service, ne faire « que » regarder vaut probablement tout de même son pesant d’or !

Car le Directors Desk est une cible intéressante : il s’agit d’un service en mode SaaS destiné à faciliter la vie des comités de direction de grandes entreprises. De la gestion des réunions du comité aux informations stratégiques mises à la disposition de ses membres, tout y est. La brochure du service indique par exemple que l’on peut y trouver l’historique des votes du comité de direction, des documents de planification, l’annuaire de ses membres, etc… L’on imagine parfaitement combien il doit être aisé grâce à ces informations de faire une radioscopie complète d’un concurrent.

Le pedigree sécurité du Directors Desk se veut pourtant rassurant : le service affiche une certification ISO 27001, procède à des analyses de risque, utilise des mots de passe forts, applique une politique de destruction des données périmées, chiffre le trafic, et a bien entendu déployé des IDS dans sa ferme de serveurs. Las, rien de tout cela n’aura empêché les intrus de s’y promener pendant près d’une année, et probablement d’observer de nombreux comités de direction à l’oeuvre.

Et pendant ce temps tout le monde se félicite que la plate-forme de cotation n’ait pas été compromise…