Nortel Networks Corporation (ou
Nortel) est l'un des principaux fournisseurs mondiaux en matière d'équipements de réseaux et de télécommunications. Jusqu'à ces dernières heures, c'était aussi l'une des entreprises de haute-technologie parmi les plus innovantes. Et ce, malgré ses
déboires en 2008 et 2009 : une mise sous protection de la loi nord-américaine sur les faillites et une restructuration de sa dette.
En 2004, un employé (probablement un administrateur réseau compétent et curieux) remarque que des téléchargements inhabituels de documents se sont produits. L'auteur de ces étranges faits, l'un des dirigeants de l'entreprise, est interrogé mais répond qu'il n'a jamais téléchargé ces documents. Une enquête soi-disant approfondie est conduite avec pour résultat majeur de faire changer le mot de passe de ce responsable !
La
contradiction entre une action (le téléchargement) et la négation sincère de celle-ci par son auteur aurait sans doute dû mettre la
puce à l'oreille à tout responsable de la sécurité digne de ce nom (et de ses fonctions) qui, cela est bien connu, en bon paranoïaque se serait sans doute montré aussi tenace qu'un
épagneul breton en période de chasse ! C'est (presque) à prendre au second degré mais pour qui a déjà été confronté à ce genre de situation, je ne connais personnellement pas une intervention qui ne se soit achevée sans qu'il n'y ait résolution complète de l'incident.
Quitte à y passer la soirée voire la nuit ! Ou des jours entiers...
En réalité, le ver était déjà dans le fruit depuis le début des années 2000 et il semblerait que les comptes et les mots de passe associés des 7 principaux dirigeants (y compris le PDG) combinés avec des spywares sur de nombreuses machines au sein du système d'information de l'entreprise ont permis l'extraction d'innombrables données et informations vers une adresse IP à Shangaï, en Chine.
Documents techniques, financiers, rapports de R&D, mails, etc. la moisson est colossale et les pirates n'ont eu qu'à choisir durant près de 10 ans !! La légèreté avec laquelle Nortel semble avoir traité cette affaire révèle une incroyable incompétence et l'excuse selon laquelle les techniques employées étaient peu connues à l'époque ou ciblaient essentiellement le secteur bancaire sont la preuve d'une irresponsabilité qui relève autant de la mauvaise foi, que d'un manque évident de professionnalisme et assurément d'une lourde culpabilité qui n'est pas assumée.
On relèvera cependant que cette affaire, révélée par le Wall Street Journal dont je recommande la lecture de l'
excellent article, tombe bien à propos tandis que Xi Jinping, donné comme le futur n°1 chinois est en tournée aux USA. Entre cyber-espionnage mutuel et montée en puissance aux États-Unis du
lobby politico-industriel de la cybersécurité, il serait surprenant que cet effort de communication et de transparence n'ait que valeur de simple
mea culpa.