Check Point confirme et relativise un vol de données

L'entreprise de cybersécurité Check Point confirme un vol de données. Selon The Register, un utilisateur nommé CoreInjection affirme sur un forum de cybercriminalité avoir volé des données sensibles sur les serveurs de Check Point. L'utilisateur a également publié des captures d'écran qui prouveraient qu'il s'est connecté à un portail de gestion de la sécurité Admin Infinity, où il aurait eu la possibilité de désactiver l'authentification à deux facteurs des utilisateurs.

Dans une déclaration à The Register et sur sa page d'assistance, Check Point confirme l'incident, mais relativise l'ampleur présentée par CoreInjection. Le vol de données aurait déjà eu lieu en décembre 2024 et seul un nombre limité de systèmes et de comptes aurait été touché. Il n'y a eu aucun danger pour les clients ou les employés, car les systèmes concernés avaient déjà été mis à jour au moment de la publication du post de CoreInjection. Les informations figurant sur le forum étaient donc déjà obsolètes ou exagérées. Le vol de données a été causé par l'utilisation malveillante d'informations d'identification compromises pour un compte de portail à accès restreint.

Alon Gal, cofondateur et directeur technique de l'entreprise de cybersécurité Hudson Rock, a toutefois exprimé des doutes à l'égard des affirmations de CoreInjection dans une interview accordée à The Register. Les captures d'écran sont convaincantes et le pirate informatique a déjà ciblé avec succès des entreprises israéliennes par le passé. Alon Gal admet toutefois que, selon la déclaration de Check Point, la fuite de données est probablement moins importante que ce qui est présenté sur le forum de cybercriminalité. Bien que sur l'une des captures d'écran de CoreInjection, plus de 120’000 comptes, dont 18’825 actifs, soient visibles, cela ne signifie pas nécessairement que le pirate informatique y a accès. Les conséquences du vol de données pourraient donc être aussi limitées que le prétend Check Point dans sa déclaration.