IBM accusé d’avoir caché plusieurs piratages pendant des années

Un ex-cadre cybersécurité d’IBM accuse le groupe d’avoir caché trois séries d’intrusions, dont une attribuée à la Chine. L’enjeu dépasse largement IBM.

Vendre de la cybersécurité au gouvernement américain et se retrouver accusé d’avoir gardé le silence sur ses propres piratages, disons que l’image pique un peu. C’est pourtant le cœur d’un dossier judiciaire visant IBM, remis en lumière cette semaine après le descellé d’une plainte déposée en 2020 par William Barlow, ex-vice-président du renseignement sur les menaces du groupe.

Le vrai problème, ce n’est pas juste IBM

Ce qui ressort, au-delà du nom IBM, c’est un point franchement gênant, des attaques peuvent frapper de très grosses boîtes tech sans jamais être rendues publiques, ni signalées aux autorités concernées. Dans cette affaire, William Barlow affirme que des données ont été volées à répétition et que des agences gouvernementales n’ont jamais été prévenues.

Et ça compte encore plus parce que IBM travaille avec le gouvernement fédéral américain sur les sujets de sécurité. Pas mal de lois de notification ont justement été adoptées ces dernières années pour éviter ce trou noir. Là, on parle précisément de ce genre de scénario.

Une campagne attribuée à APT10 au cœur du dossier

Selon la plainte, le réseau central d’IBM aurait été compromis entre 2013 et 2016 par des hackers liés à la Chine. William Barlow dit que le groupe a identifié APT10, déjà présenté en 2018 par le directeur du FBI Christopher Wray comme un acteur ayant visé un « qui est qui » de l’économie mondiale.

En mars 2017, des responsables du renseignement d’Australie, du Royaume-Uni, des États-Unis, du Canada et de la Nouvelle-Zélande, l’alliance dite des Five Eyes, auraient averti IBM. Ce signalement aurait déclenché une enquête interne.

Résultat ? Cette enquête aurait conclu à plus de 56.000 compromissions potentielles du réseau sur la période. Et là, ça devient très moche, IBM n’aurait pas pu aller plus loin faute de journaux de connexion conservés, alors qu’on parle d’une pratique de base en sécurité.

Des comptes touchés partout, et aucun signalement

La plainte va beaucoup plus loin qu’une simple alerte. Elle évoque quatre serveurs compromis dans la campagne APT10, sur une infrastructure centrale exploitée avec AT&T, jugée vieillissante et trop facile à parcourir discrètement pour des attaquants.

Un rapport interne cité dans le dossier parle de près de 200 systèmes et serveurs touchés, de presque 400 comptes compromis, de plusieurs produits IBM, et d’un impact dans dix-huit pays. En gros, pas l’incident local qu’on planque dans un coin du SI.

Barlow affirme aussi qu’IBM n’a pas alerté les autorités compétentes, ni le gouvernement américain, pourtant l’un de ses principaux clients.

IBM conteste, Barlow élargit aux filiales

Face à ces accusations, la porte-parole Miki Carver a refusé de répondre sur le fond. Elle a indiqué à TechCrunch que la plainte avait été déposée il y a six ans, que le Department of Justice avait refusé d’intervenir, et qu’IBM estimait avoir agi dans le respect de la loi.

L’affaire ne s’arrête pas au réseau central. William Barlow cite aussi Trusteer, rachetée par IBM en 2013 et touchée selon lui en 2018, ainsi que Truven, acquise en 2016 et qui aurait subi plusieurs brèches après son rachat. Dans les deux cas, il accuse encore IBM de n’avoir ni correctement enquêté, ni correctement divulgué les faits.

L’avocat de William Barlow, Jason Brown, dit vouloir mener le dossier agressivement et lâche une phrase qui résume tout : « On ne peut pas vendre de la cybersécurité au gouvernement fédéral tout en ayant, selon les accusations, ce genre de problèmes chez soi ». Et oui, ça fait très mal. Bloomberg a été le premier à révéler l’existence de cette plainte.