Ticketmaster, AT&T... Qu'est-ce Snowflake, l'entreprise à l'origine d'une fuite de données de millions d'internautes?

Snowflake. Ce nom ne vous dit peut-être rien et pourtant, cette entreprise américaine, fondée en 2012, joue un rôle (très) important dans le quotidien de nombreuses entreprises à travers le monde. Depuis mi-avril, ce géant du cloud (stockage en ligne) est la cible d'une importante violation de données. Peut-être l'une des plus grandes cyberattaques de l'histoire.

La société, créée par trois experts en bases de données - Benoit Dageville, Thierry Cruanes et Marcin Zukowski -, fonctionne de la même manière qu'Amazon Web Services (AWS), Microsoft Azure et autre Google Cloud Platform (GCP), ses principaux concurrents.

Des centaines de millions de clients

Snowflake promet à ses entreprises clientes de stocker et d'analyser de grandes quantités de données. Et elle compte, parmi ses clients, de prestigieuses sociétés comme la banque espagnole Santander, le géant de la billeterie Ticketmaster ou encore l'opérateur américain AT&T.

Avec de tels clients, Snowflake est l'une des plateformes cloud les plus puissantes du monde. Elle réunit et gère les données personnelles de dizaines de millions d'internautes. Problème? Lorsqu'une si grosse entreprise est visée par des hackers, les données sensibles de centaines de millions de clients se voient potentiellement compromises.

"Nous n'avons pas identifié de preuves suggérant que cette activité a été causée par une vulnérabilité, une mauvaise configuration ou une violation de la plateforme Snowflake", a assuré le responsable de la sécurité des systèmes d'information de l'entreprise américaine, Brad Jones.

Selon l'entreprise spécialisée en cybersécurité SOCRadar, la cyberattaque du mois d'avril affecterait potentiellement 30 millions de clients de Santander et 560 millions de clients de Ticketmaster.

Ce vendredi 12 juillet, c'est l'opérateur américain AT&T (110 millions de clients) qui a révélé publiquement avoir été touché par une cyberattaque. Et, comme pour Satander ou Ticketmaster, les données ont été dérobées sur la plateforme de Snowflake.

À en croire les investigations de SOCRadar, la faille de sécurité serait liée à la compromission d'un ordinateur utilisé par un ingénieur commercial de Snowflake. La machine aurait été infectée par un logiciel malveillant (de type ransomware, rançongiciel) nommé Lumma Stealer, capable d'enregistrer toute l'activité d'un ordinateur.

Un piratage revendiqué en mai

Un acteur malveillant utilisant le pseudonyme "Whitewarlock" a revendiqué le piratage sur un forum russe du dark web le 23 mai. Il a mis en vente des données prétendument obtenues lors de l'intrusion. Les données exposées par ce dernier comprennent des noms, adresses, emails, numéros de téléphone, ainsi que des données financières.

Suite à cette violation, Snowflake a émis plusieurs recommandations pour aider ses clients à sécuriser leurs comptes, notamment l'activation de l'authentification multi-facteurs (MFA) et l'application des meilleures pratiques de sécurité.

"Comme nous l'avons indiqué le 6 juin dernier, nous continuons à travailler en étroite collaboration avec nos clients pour renforcer leurs mesures de sécurité afin de réduire les cybermenaces qui pèsent sur leurs entreprises", conclut Brad Jones.

L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a également publié une alerte, exhortant les utilisateurs et administrateurs à rechercher toute activité malveillante et à suivre les recommandations de Snowflake.