À l’intérieur de la faille HackerOne : comment un prestataire d’avantages sociaux est devenu le maillon faible

Quand on pense aux cyberattaques, on imagine souvent des hackers dans l’ombre pénétrant directement dans les coffres-forts des entreprises. Mais parfois, la véritable vulnérabilité se trouve juste à l’extérieur des murs. C’est exactement ce qui est arrivé à HackerOne, une plateforme leader du bug bounty, dont les données sensibles des employés ont été dérobées - non pas via leurs propres systèmes, mais par l’intermédiaire d’un prestataire de confiance, Navia Benefit Solutions.

La faille a commencé discrètement, les attaquants s’infiltrant dans les systèmes de Navia juste avant les fêtes et y restant près d’un mois sans être détectés. Ce n’est que le 23 janvier 2026 que Navia s’est rendu compte qu’il y avait un problème. À ce moment-là, le mal était fait : les informations personnelles de millions de personnes - dont près de 300 employés de HackerOne - avaient été exposées.

Pour HackerOne, une entreprise fondée sur la confiance et l’expertise en cybersécurité, l’ironie est mordante. Aucun de leurs propres serveurs n’a été touché, aucun rapport de bug client n’a fuité. C’est plutôt les données RH sensibles - noms, numéros de sécurité sociale, dates de naissance, et plus encore - gérées par Navia pour leur compte qui ont été volées. La notification aux employés concernés n’est arrivée que près de deux mois après la découverte de la faille, soulignant la complexité des enquêtes et des réponses aux incidents impliquant des tiers.

Cet incident est un exemple typique d’« attaque par la chaîne d’approvisionnement », où les hackers contournent des cibles bien protégées en infiltrant leurs fournisseurs. Dans le monde interconnecté des affaires d’aujourd’hui, la sécurité de votre entreprise n’est aussi forte que celle de votre partenaire le plus faible. Navia, comme beaucoup d’administrateurs d’avantages sociaux, détient une mine d’or de données personnelles mais n’a peut-être pas les défenses cybernétiques de ses clients.

Navia affirme qu’il n’y a « aucune preuve d’utilisation abusive » des données volées - une formule standard qui rassure peu. L’histoire montre que de telles assurances peuvent rapidement s’effondrer si les données apparaissent sur des forums criminels ou sont utilisées dans des campagnes de phishing. Les experts en sécurité avertissent qu’avec autant d’informations personnelles en main, les attaquants peuvent élaborer des arnaques très convaincantes, ciblant les victimes pour des vols d’identité ou d’autres violations.

En réponse, Navia propose une surveillance de crédit gratuite via Kroll, et HackerOne indique revoir sa relation avec le prestataire. Cette faille a également poussé les entreprises à renforcer la surveillance de leur chaîne d’approvisionnement, exigeant des normes de confidentialité et de sécurité plus strictes de la part de tous leurs partenaires.

Alors que les cybercriminels continuent d’exploiter les maillons les plus faibles, la faille HackerOne-Navia rappelle crûment ceci : en cybersécurité, la confiance se mérite, mais la vigilance doit être permanente - même lorsque la menace vient de ceux en qui l’on a le plus confiance.

WIKICROOK

• Attaque par la chaîne d’approvisionnement : Une attaque par la chaîne d’approvisionnement est une cyberattaque qui compromet des fournisseurs de logiciels ou de matériels de confiance, propageant des malwares ou des vulnérabilités à de nombreuses organisations en même temps.
• Plateforme de bug bounty : Une plateforme de bug bounty est un site web où les chercheurs en sécurité signalent des vulnérabilités aux organisations, recevant souvent des récompenses ou de la reconnaissance pour leurs découvertes.
• Identifiants personnels : Les identifiants personnels sont des données sensibles, telles que les numéros de sécurité sociale ou de passeport, utilisées pour identifier de façon unique les individus et nécessitant une protection renforcée.
• Surveillance de crédit : La surveillance de crédit est un service qui suit vos rapports de crédit et vous alerte en cas d’activité suspecte ou de tentative de vol d’identité.
• Phishing : Le phishing est un cybercrime où des attaquants envoient de faux messages pour tromper les utilisateurs et leur faire révéler des données sensibles ou cliquer sur des liens malveillants.