La Federal Trade Commission (FTC) des États-Unis a finalisé une ordonnance exigeant que le géant de l’hébergement Web GoDaddy sécurise ses services. Les autorités américaines pointent ainsi du doigt des défaillances de sécurité des données qui ont entraîné plusieurs violations de données depuis 2018.
En janvier, la FTC a déjà allégué que GoDaddy avait induit en erreur ses cinq millions de clients au sujet de ses pratiques de sécurité. L’autorité a constaté que GoDaddy n’était pas au courant des vulnérabilités de son environnement d’hébergement en raison de l’absence de mesures de sécurité de base.
Les détails de l’ordonnance de la FTC contre GoDaddy
L’ordonnance de la FTC interdit donc à l’entreprise d’induire les clients en erreur au sujet de ses mesures de sécurité. Elle oblige aussi GoDaddy à établir un programme robuste de sécurité des informations.
L’entreprise devra notamment sécuriser les API en utilisant le protocole HTTPS ou d’autres protocoles de transfert sécurisé. Elle devra aussi configurer un programme de gestion des mises à jour logicielles et du micrologiciel.
L’ordonnance exige également que GoDaddy engage un évaluateur tiers indépendant pour effectuer des examens biennaux de son programme de sécurité. Il devra signaler dans les 10 jours, tout incident où les données du client ont été exposées, consultées ou volées.
Entre autres exigences, la société d’hébergement doit ajouter au moins une authentification multifactorielle obligatoire pour tous les clients, employés et personnel des entrepreneurs. Cela vaut pour « tout outil ou actif de soutien du service d’hébergement, y compris la connexion à toute base de données ».
L’hébergeur doit également inclure “au moins une méthode qui n’exige pas que le client fournisse un numéro de téléphone. Par exemple, en intégrant des applications d’authentification ou en permettant l’utilisation d’une clé de sécurité.”
Les Pratiques Laxistes de Sécurité de GoDaddy Derrière Les Multiples Brèches
Selon la plainte de la FTC, GoDaddy avait des pratiques de sécurité inadéquates. L’authentification multifactorielle (MFA) était inexistante des différents systèmes. De plus, la gestion des mises à jour logicielles et l’enregistrement des événements de sécurité étaient inappropriés.
L’entreprise était incapable de surveiller les menaces, de segmenter son réseau, de surveiller l’intégrité des fichiers, de suivre et de gérer ses actifs. Il lui était aussi impossible d’évaluer les risques pour ses services d’hébergement ou de sécuriser les connexions de service aux données de ses clients.
La FTC affirme que ces failles de sécurité sont responsables de plusieurs violations majeures entre 2019 et 2022. Elles auraient permis aux attaquants d’accéder aux données et aux sites web des clients.
Des violations en série pendant des années, liée à une même intrusion
Par exemple, en février 2023, GoDaddy a révélé que des menaces inconnues avaient installé des logiciels malveillants sur des serveurs compromis. Elles en auraient d’ailleurs volé le code source après avoir violé son environnement d’hébergement partagé cPanel. Cette brèche aurait été exploitée pendant plusieurs années avant d’être mise à jour.
L’entreprise a découvert l’incident au début de décembre 2022, seulement après avoir reçu des plaintes. Des clients rapportaient alors que leurs sites Web étaient utilisés à mauvais escient pour rediriger vers des domaines inconnus. GoDaddy a alors révélé que les violations signalées en mars 2020 et novembre 2021 étaient liées à cette même faille.
Lors de la brèche de novembre 2021, des attaquants ont piraté l’environnement d’hébergement de GoDaddy. Ils ont alors utilisé un mot de passe compromis pour voler une foule de données sensibles. Cela inclut notamment les adresses e-mail, les mots de passe WordPress Admin, les identifiants sFTP et base de données ainsi que les clés privées SSL de 1,2 million de clients WordPress gérés.
Suite la violation de mars 2020, GoDaddy a informé 28 000 clients qu’un attaquant avait utilisé leurs identifiants d’hébergement web pour se connecter via SSH en octobre 2019. Il aurait donc possiblement fallu plus de 3 ans aux techniciens de GoDaddy pour identifier et corriger la brèche.
Honnêtement, on s’attend à bien mieux de n’importe quel hébergeur web. C’est donc d’autant plus décourageant et inacceptable venant d’un géant comme GoDaddy.
GoDaddy dit vouloir collaborer avec la FTC
Les faits exposés par la FTC et l’ordonnance qui en résulte on mis à mal la réputation de GoDaddy. Nous avons pu constater que le géant était complètement incapable d’assurer la sécurité de ses services. L’entreprise s’est donc efforcer d’exprimer son désir de faire mieux à l’avenir, tout en évitant de reconnaître ses torts.
Lorsque la FTC a émis une proposition d’ordonnance de règlement en janvier, GoDaddy a déclaré:
“Nous améliorons constamment nos capacités en matière de sécurité et avons déjà mis en œuvre un certain nombre d’exigences figurant dans l’accord de règlement avec la FTC. Notamment, la résolution de cette affaire ne comprend aucune admission de faute et aucune sanction pécuniaire. »
L’entreprise avait alors annoncé son intention de se conformer aux exigences des autorités américaines et d’investir dans la sécurité de ses services:
“Nous prévoyons un impact financier minimal associé au respect des modalités de l’accord avec la FTC. Nous avons l’intention de continuer à investir dans nos défenses pour faire face aux menaces en constante évolution et aider nos clients, leurs sites Web et leurs données à rester en sécurité. »
GoDaddy n’a pas encore réagit à l’ordonnance finale émise par la FTC.
Pour conclure sur l’ordonnance de la FTC pour forcer GoDaddy à sécuriser ses services d’hébergement web
La sécurité est depuis toujours un aspect essentiel de tout service d’hébergement web. On peut donc déplorer le fait que les autorités américaines aient dû intervenir pour que le plus grand hébergeur au monde assume ses responsabilités.
Des millions de clients ont déjà souffert du laxisme de GoDaddy en matière de sécurité. Il aura fallu plus de trois ans à l’hébergeur pour découvrir et régler une faille majeure. On ne peut qu’espérer que cette ordonnance légalement contraignante force enfin GoDaddy à agir.
Nous espérons que cet article vous a plus et vous a éclairé sur l’ordonnance de la FTC visant à contraindre GoDaddy à sécuriser ses hébergements web. Si c’est le cas, nous vous enjoignons à consulter nos autres articles.
Si vous êtes à la recherche d’un hébergeur web, nous vous invitons aussi à jeter un coup d’œil nos nombreux comparatifs. Vous y trouverez opposés plusieurs des meilleurs acteurs de l’industrie.
