Les mises à jour des logiciels et systèmes sont indispensables, pour garantir un bon fonctionnement mais aussi corriger les bugs et les failles de sécurité. Bien trop souvent cependant on constate un oubli de mise à jour d’un logiciel ou d’un matériel, oubli qui peut avoir de graves conséquences comme vient de le démontrer le piratage de Luxxotica.

Luxxotica piraté à cause d’un oubli de mise à jour

Luxxotica, fabricant italien de lunettes notamment pour les marques Ray-Ban et Chanel, vient de faire la triste expérience d’être victime d’un piratage tout simplement parce qu’un de ses équipements présentant une faille de sécurité n’a pas été mis à jour.

En effet, Luxxotica utilise les répartiteurs de charges ADC de chez Citrix, de très bons produits au demeurant. Seulement voilà, ce type d’appareil présentait une vulnérabilité critique rendue publique en décembre 2019 (vulnérabilité CVE-2019-19781) pour laquelle un correctif a été mis à disposition le même mois (https://support.citrix.com/article/CTX267679).

Hors, ce correctif n’a pas été appliqué sur les équipements concernés chez Luxxotica. Du coup la faille de sécurité était toujours présente le 18 septembre 2020 ce qui a permis à des pirates d’exécuter du code à distance sur ces appareil et d’y implanter un ransomware. Les équipes informatiques de Luxxotica ont rapidement réagi en déconnectant les serveurs du réseau et en supprimant le ransomware.

Cependant, si les appareils avaient été mis à jour dès décembre 2019, cet épisode de piratage, désagréable et stressant, n’aurait tout simplement pas eu lieu.

Comme quoi un simple oubli de mise à jour peut coûter cher !