Trustwave poursuivi par un client mécontent

Affinity Gaming, qui gère plusieurs ensembles d’hôtel/casino au Nevada, vient d’engager des poursuites à l’encontre de Trustwave. Dans sa plainte, il accuse le prestataire de l’avoir trompé en assurant, à l’issue de son intervention, que la brèche dont il avait été victime avait été comblée.

C’est à l’automne 2013 qu’Affinity Gaming a fait appel à Trustwave pour enquêter sur une brèche de sécurité. Ce sont notamment les autorités locales qui ont averti le groupe d’activités « potentiellement » frauduleuses sur des cartes bancaires.

Truswave a commencé son intervention début novembre 2013 pour l’achever au milieu de mois de janvier suivant. Le périmètre initial de l’enquête portant sur 10 systèmes, ainsi que sur la sécurité physique et la topologie réseau d’Affinity Gaming. Selon le plaignant, à l’issue de sa mission, le prestataire a affirmé que la brèche avait été « contenue », avant de formuler des recommandations pour éviter qu’un tel incident ne survienne à nouveau.

Las, après cette intervention, Affinity Gaming assure avoir appris « qu’il souffrait d’une brèche de données en cours ». Et de faire appel à un autre expert du domaine : la division Mandiant de FireEye, à la fin du mois d’avril 2014.

C’est l’enquête conduite par cette dernière qui aurait « conclu que les représentations de Trustwave étaient erronées et que son travail avait été inadéquat ». Par le biais de ses avocats, Affinity Gaming assure ainsi que « Trustwave a menti en affirmant que son investigation allait diagnostiquer et aider à réparer la brèche de données, et en indiquant que la brèche était ‘contenue’ » : son prestataire n’aurait examiné qu’un « petit sous-ensemble des systèmes de données d’Affinity Gaming » et « échoué à identifier les moyens par lesquels l’attaquant avait mis en défaut la sécurité de [ses] données ».

Mandiant a présenté son rapport début juillet 2014, pour conclure que le système d’information d’Affinity Gaming avait été compromis via des accès VPN et que « la ‘porte dérobée’ créée par [les attaquants] était bien réelle et accessible », alors que « Truswave avait spéculé qu’elle ait pu exister », tout en l’estimant « inerte ». Et pour Mandiant, les attaquants « ont à nouveau compromis les données d’Affinity Gaming en décembre 2013, alors que l’investigation et les efforts supposés de remédiation de Trustwave étaient en cours ». Et le plaignant d’affirmer que « Mandiant a également déterminé que l’accès non autorisé  est survenu de manière continue avant et après que Trustwave a affirmé que la brèche avait été ‘contenue’ ».

Dans son rapport, Mandiant lui-même n’a pas manqué de critiquer le travail de son concurrent, assurant que ce dernier avait « échoué à identifier l’étendue complète de l’incident précédent, ce qui a laissé le réseau d’Affinity vulnérable à des attaques futures ». Et d’ajouter que Trustwave « a décidé d’enquêter sur 7 systèmes et n’a pas déterminé comment l’attaquant a maintenu son accès à l’environnement via le VPN et deux portes dérobées installées le 16 octobre 2013 ».

Dans la plainte, les avocats d’Affinity Gaming expliquent que « Trustwave a échoué à accepter la responsabilité de sa conduite et à compenser les pertes ». Le plaignant évoque un préjudice de plus de 100 000 $.