La start-up Spliiit est une solution de co-abonnement, pour partager les frais de services récurrents (médias, logiciels ou e-commerce). Elle a subi un vol de données à l’été 2021 qui a mis à rude épreuve les nerfs de son directeur général, Jonathan Lalilec.
Quelle était votre politique concernant la sécurité de vos données, avant la découverte de la faille ?
Jonathan Lalinec : C’est triste à dire mais ce n’était pas une préoccupation primordiale. J’étais focalisé sur le produit, le fait de créer une preuve de concept puis de lancer le service. Notre Chief Technology Officer (CTO) m’alertait de temps en temps sur la sécurité. Mais je pensais que nos infrastructures étaient sécurisées parce que nous avions des mots de passe partout et que les données étaient cryptées. Ridicule, non ? C’était une erreur de débutant, il aurait en réalité fallu mettre beaucoup plus de process en place pour être tranquilles.
Que s’est-il passé ?
J.C. : Nous avons compris le 5 juillet 2021 que nous avions été attaqués. Au départ, nous n’avions aucune conscience de ce que le pirate avait récupéré. Puis, nous avons compris que, via les API de nos outils d’e-mailing et d’envois de SMS, il avait obtenu les noms, prénoms, adresses e-mail et numéros de téléphone de nos clients – qu’il a utilisés pour chercher à récupérer leurs coordonnées de carte bleue via du phishing.
Comment avez-vous découvert que des données avaient été volées ?
J.C. : Dès le début de la matinée, notre service client a reçu de nombreuses alertes de clients. Ceux-ci s’étonnaient de messages envoyés de notre part à des heures étranges et comportant des fautes d’orthographe et une syntaxe qui leur ont mis la puce à l’oreille. Nous avons décelé sur nos outils une activité inhabituelle : notre logiciel d’envoi d’e-mails indiquait avoir envoyé 50 000 messages au lieu des 15 000 que l’on envoyait quotidiennement (confirmations d’abonnement, messages commerciaux, etc NDLR).
Quels ont été vos premiers réflexes ?
J.C. : Nous avons mis du temps à réagir : il nous a fallu plusieurs jours avant de comprendre comment le pirate s’était introduit dans nos systèmes. Nous n’avons pas été assez rapides et cela nous a d’ailleurs été reproché. Mais franchement… on pensait qu’on était foutus ! Nous avons finalement mis sur pied une cellule de crise avec l’ensemble de l’équipe. Au sein de celle-ci, les rôles étaient bien répartis. Notre Chief Technology Officer (CTO) analysait l’historique de connexions pour savoir comment réagir, notre équipe technique était occupée à trouver la faille et le marketing et le service client communiquaient avec les clients. Nous les avons tenus informés en temps réel. Nous avions accès aux outils, nous savions donc qui avait cliqué sur l’e-mail de phishing et nous avons appelé les clients concernés pour qu’ils puissent faire opposition le plus rapidement possible.
Votre service a-t-il continué de fonctionner pendant l’incident ?
J.C. : Au départ, oui, nous l’avons maintenu. Mais après les e-mails de phishing, le pirate a envoyé des SMS de phishing à nos clients en prenant prétexte de l’attaque. C’en était trop, nous avons alors suspendu le service le temps de trouver la faille et de sécuriser nos accès.
Nous devenions complètement paranos. L’après-midi même, un journaliste m’a contacté pour évoquer l’attaque. Je lui avais dit que nous nous apprêtions à contacter par SMS les clients pour les avertir du phishing. 20 minutes plus tard, le hacker envoyait un SMS à nos clients au nom de Spliiit. Je me suis demandé si le pirate ne s’était pas fait passer pour le journaliste, alors que j’avais vérifié son profil en ligne et appelé sa rédaction pour m’assurer de son identité !
Avez-vous su comment le pirate s’est procuré les données ?
J.C. : Oui, nous avons mis plus de 2 jours pour trouver et résoudre le problème. La faille provenait d’une erreur en pré-prod sur le serveur. Il était sécurisé par un mot de passe mais un sous-domaine n’était pas sécurisé et le hacker a réussi à entrer. Ensuite, via une barre de debug Laravel, puis via les API de nos outils de communication avec nos clients, il avait accès à leurs coordonnées. Heureusement, leurs informations bancaires n’étaient pas stockées chez nous mais chez notre partenaire Lemonway et les mots de passe de leurs espaces personnels étaient eux sur un autre serveur.
Cet incident a-t-il eu des conséquences sur Spliiit ?
J.C. : Non, aucun client ne s’est fait dérober ses coordonnées bancaires et nous avons rapidement remis le service en route. Au contraire, nous avons même eu des retours plutôt positifs sur la façon dont nous avions communiqué.
Qu’est-ce qui a changé dans votre sécurité depuis ?
J.C. : D’abord, nous avons changé toutes les clés des API pour compliquer la tâche du hacker. Ensuite, nous avons fait appel à un pirate éthique qui a trouvé une quinzaine d’autres failles – mais aucune critique – que nous avons résolues. Puis nous avons demandé à tous nos développeurs de vérifier les paramètres de sécurité avant de mettre une fonctionnalité en production.
Vous sentez-vous mieux armé face à de potentielles attaques ?
J.C. : Oui. Au moment de l’attaque, j’étais frustré parce que personne dans l’équipe n’était spécialiste en cybersécurité et nous étions un peu démunis. Aujourd’hui, nous sommes plus sereins. Cela ne veut pas dire que nous sommes à l’abri d’une fuite de données mais je sais sur qui me reposer si cela arrivait à nouveau. Nous pourrions réagir beaucoup plus vite que la première fois. Et la cybersécurité est quelque chose que je ne délaisserai plus.
Biographie
Passionné par la création de produits numériques et spécialisé dans l’expérience utilisateur et l’automatisation, Jonathan Lalinec a fondé quatre entreprises depuis 2004. En 2019, il a créé la Fintech Spliiit, qui permet de partager avec ses proches le prix de certains abonnements grâce à des cagnottes en ligne.
