Applicable aux clients Zendesk dont le compte a été activé avant le 1er novembre 2016

Que s’est-il passé ?

Nous avons récemment été signalés par un tiers au sujet d’un problème de sécurité qui pourrait avoir affecté les produits Zendesk Support et Chat et les comptes client de ces produits activés avant novembre 2016. Une fois que nous avons eu connaissance de ces informations, les équipes de sécurité de Zendesk et nos experts externes ont lancé une enquête approfondie sur l’incident. Alors que notre enquête est encore en cours, le 24 septembre 2019, nous avons déterminé que les informations appartenant à un petit pourcentage de clients avaient été consultées avant novembre 2016.

Nous avons identifié environ 15 000 comptes Zendesk Support et Chat, notamment des comptes d’essai arrivés à expiration et des comptes qui ne sont plus actifs, pour lesquels les informations de compte étaient accessibles sans autorisation avant novembre 2016. Les informations accessibles incluaient des informations à caractère personnel (ICP) et d’autres données de service. Nous n’avons trouvé aucune preuve d’accès aux données de ticket en rapport avec cet incident.

Les informations présentées à partir de ces bases de données incluaient les données suivantes, potentiellement jusqu’au 1er novembre 2016 :

• Adresses e-mail, noms d’utilisateur et numéros de téléphone des agents et utilisateurs finaux de certains produits Zendesk.
• Mots de passe des agents et des utilisateurs finaux qui ont été hachés et salés, une technique de sécurité utilisée pour les rendre difficiles à déchiffrer, potentiellement jusqu’à novembre 2016.  Nous n’avons trouvé aucune preuve que ces mots de passe ont été utilisés pour accéder à des services Zendesk dans le cadre de cet incident.

MISE À JOUR :  Nous avons également déterminé que certaines informations d’authentification étaient accessibles pour environ 7 000 comptes client, y compris des comptes d’essai arrivés à expiration et des comptes qui ne sont plus actifs..  Après une analyse plus approfondie, nous avons aussi trouvé une erreur et identifié un groupe de clients ayant accédé à un petit nombre de certificats TLS, dont la plupart ont expiré. 

Voici les informations concernées :

• Clés de chiffrement Transport Layer Security (TLS) fournies à Zendesk par les clients
• Paramètres de configuration des applications installées à partir de Zendesk Apps Marketplace ou d’applications privées. Cela peut inclure les clés d’intégration utilisées par ces applications pour s’authentifier auprès de services tiers.

Nous sommes désolés que cet incident ait eu lieu. La sécurité de nos clients et de leurs données est primordiale pour nous..  Notre objectif est de communiquer ces informations le plus rapidement possible en faisant preuve de transparence et en vous donnant des conseils sur la façon de les traiter. Nous mettrons à jour et partagerons plus d’informations dans cette dès qu’elle sera disponible.

Qu’a-t-il été fait pour remédier à la situation ?

À ce stade, notre équipe de sécurité et une équipe de polices légales tierces sont encore en train de terminer leur enquête et leur analyse approfondies. En fonction des informations dont nous disposons à ce jour, nous avons également pris les mesures suivantes :

• Engager une équipe d’experts forationnels externes pour valider ce problème de sécurité et déterminer les données et informations exactes qui ont été exposées.
• Activation de notre équipe de réponse et de notre protocole de sécurité des données internes. Cette équipe continue d’enquêter avec des ressources complètes pour déterminer comment cette exposition s’est produite.
• Informer les forces de l’ordre et les organismes de réglementation mondiaux appropriés.
• Informer directement tous les clients concernés et partager les mesures que nous prenons pour protéger leurs comptes et leurs données, ainsi que les mesures supplémentaires qu’ils peuvent prendre eux-mêmes.
• Par mesure de précaution, nous vous conseillons de changer les mots de passe pour certains utilisateurs finaux et agents créés avant le 1er novembre 2016. 
• Au cours des 24 prochaines heures, Zendesk commencera à mettre en œuvre les rotations de mots de passe pour tous les agents actifs dans Support et Chat, et pour tous les utilisateurs finaux dans Support créés avant le 1er novembre 2016. Nous conseillons aux utilisateurs de modifier leur mot de passe à l’avance pour plus de commodité.   Cette rotation des mots de passe affectera tous les autres produits qui partagent l’authentification avec Support, notamment Guide, Talk et Explore. 
• Lors de leur prochaine connexion, chacun de ces utilisateurs devra créer un nouveau mot de passe. Notez que si vous utilisez l’authentification de base pour les API Zendesk ou Chat par le biais de votre mot de passe, vous devrez rétablir votre connexion à ces API au moment de modifier votre mot de passe.  Cette rotation des mots de passe n’affectera pas l’utilisation des tokens API ou OAuth.
• Cela ne vous affectera pas si nous avons pu déterminer que vous avez mis votre mot de passe à jour depuis le 1er novembre 2016 ou si vous utilisez la connexion unique.

Que faire ?

Si vous avez reçu un e-mail de notre part vous indiquant que vous aviez un compte avant le 1er novembre 2016, nous vous conseillons de suivre les étapes suivantes :

• Si vous avez installé Zendesk Marketplace ou une application privée avant le 1er novembre 2016 et que vous avez enregistré vos identifiants d’authentification tels que les clés API ou les mots de passe pendant l’installation, nous vous conseillons de changer les identifiants de chaque application. Vous pouvez extraire la liste des installations des applications et les dates d’installation correspondantes en utilisant le point de terminaison de l’API /v2/apps/installations.json.
• En outre, si vous avez chargé un certificat TLS dans Zendesk avant le 1er novembre 2016 et que celui-ci est encore valide, nous vous conseillons de charger un nouveau certificatet de révoquer l’ancien.
• Même si nous n’avons pas d’indices à l’heure actuelle, les clients peuvent envisager d’utiliser les identifiants de rotation utilisés dans les produits Zendesk avant le 1er novembre 2016. La rotation des tokens API dans Chat n’est pas nécessaire.

Mes données Zendesk sont-elles en sécurité ?

Bien qu’aucune mesure de sécurité ne puisse être considérée comme efficace à 100 %, Zendesk a fait de lourds investissements dans son programme de sécurité depuis 2016. Depuis, nous avons fait d’importants investissements dans notre Programme de sécurité, notamment le déploiement d’une protection supplémentaire des données personnelles sensibles en mettant en œuvre et en alignant la rétention des journaux et des données sur le Règlement général sur la protection des données (RGPD) ; le déploiement d’une fonction d’accès aucompte sans identifiants contrôlé par le client (CCUA), qui limite l’accès des employés de Zendesk aux données de service client et double la taille de notre équipe de sécurité.

À ce stade, notre équipe de sécurité et une équipe de polices tierces sont encore en train de terminer leur enquête et leur analyse approfondie de cet incident. Une fois cette enquête terminée, nous nous efforcerons de partager plus d’informations avec vous.

Comment fonctionne la rotation des mots de passe ?

Au cours des 24 prochaines heures, Zendesk commencera la rotation des identifiants pour les agents et les utilisateurs finaux qui n’ont pas changé leurs identifiants depuis le 1er novembre 2016 et qui n’utilisent pas la connexion unique.

Cette rotation des mots de passe affectera tous les autres produits qui partagent l’authentification avec Support, notamment Guide, Talk et Explore. Lors de leur prochaine connexion, chacun de ces utilisateurs devra créer un nouveau mot de passe. Pour plus de commodité, nous conseillons aux utilisateurs de modifier leur mot de passe avant cette date. 

Notez que si vous utilisez l’authentification de base pour les API Zendesk ou Chat par le biais de votre mot de passe, vous devrez rétablir votre connexion à ces API au moment de modifier votre mot de passe.  Cette rotation des mots de passe n’affectera pas l’utilisation des tokens API ou OAuth. Cela ne vous affectera pas si nous avons pu déterminer que vous avez mis votre mot de passe à jour depuis le 1er novembre 2016 ou si vous utilisez la connexion unique.

Mon compte Zendesk a été créé après le 1er novembre 2016. Cela signifie que je ne suis pas concerné ?

Correct. Nous n’avons aucune preuve que les comptes créés après le 1er novembre 2016 ont été affectés.

Mes données de service Zendesk ont-elles été compromis ? 

Nous n’avons pas établi d’accès aux ICP ou autres Données de service des clients autres que ces 10 000 comptes que nous avons spécifiquement identifiés. Si nous avons déterminé que votre compte a été affecté, nous vous en avons spécifiquement averti et partageons les mesures que nous prenons pour protéger votre compte et vos données, ainsi que les mesures supplémentaires que vous pouvez prendre.

Quels produits Zendesk sont concernés ?

Nous n’avons aucune preuve que les produits autres que Support et Chat ont été affectés.  Notez que le paramètre la rotation des mots de passe que nous mettons en œuvre affectera également tous les autres produits qui partagent l’authentification avec Support, notamment Guide, Talk et Explore. BIME, Connect, Sell et Smooch n’ont pas été affectés et ne seront pas affectés par notre rotation des mots de passe.

Dois-je signaler cet incident à mon autorité de contrôle de la protection des données ?

Si nous avons déterminé que vos Données de service, y compris les ICP, ont été compromis, nous avons spécifiquement communiqué avec vous à ce sujet. Sinon, nous n’avons trouvé aucune preuve que les ICP ou autres Données de service ont été compromis.  

Les clients de Zendesk sont les contrôleurs des données des données de service et Zendesk est le responsable du traitement des données pour les données de service lors de la prestation du Service Zendesk. Ainsi, il appartient à chaque client de déterminer s’il est tenu, en vertu de l’article 33 du Règlement général sur la protection des données 2016/679 (RGPD), d’informer son autorité de surveillance, selon que les seuils de risques pertinents sont respectés ou non dans le cadre du RGPD.  Nous mettrons à votre disposition toutes les informations dont nous disposons pour vous aider à prendre cette décision.

Pouvez-vous me dire ce qui a été compromis/une liste de données qui ont été compromis ?

Si nous nous sommes rendu compte que vos Données de service, y compris les ICP, ont été compromises, nous vous avons spécifiquement communiqué cette décision et collaborerons avec vous pour vous fournir plus de détails.  Si nous ne vous avons pas spécifiquement indiqué que vos Données de service ont été compromis, nous n’en avons aucune preuve. 

Où publierez-vous les mises à jour et les analyses des résultats ?

Nous continuerons de publier des mises à jour importantes de cet article du centre d'aide en fonction des besoins, notamment un automatisme public une fois qu'il sera terminé. Une fois cette enquête terminée, nous nous efforcerons de partager plus d’informations sur notre site Web et dans notre blog.

Où trouver des informations supplémentaires au sujet de vos programmes de sécurité ?

Les clients qui souhaitent obtenir plus d’informations ou des réponses à des questions spécifiques au sujet de notre programme de sécurité peuvent consulter la section Sécurité de notre site Web à https://www.zendesk.com/product/zendesk-security/.