Certains articles de veille peuvent faire l'objet de traduction automatique.
Le battement de tambour de violation de données. La divulgation des informations est implacable, et de nouvelles organisations apparaissent sans cesse. Mais une série d’infractions en décembre et janvier qui ont été révélées ces dernières semaines a permis de montrer à quel point les choses peuvent mal tourner lorsque les pirates informatiques trouvent une porte d’entrée vers des dizaines de cibles potentielles – et ce, dans un but lucratif.
Le vendeur de pare-feu Accellion a discrètement publié un patch à la fin du mois de décembre, puis d’autres corrections en janvier pour remédier à un ensemble de vulnérabilités dans l’une de ses offres d’équipement réseau. Depuis lors, des dizaines d’entreprises et d’organisations gouvernementales du monde entier ont reconnu que ces failles étaient à l’origine de leur violation, et nombre d’entre elles sont victimes d’extorsion, le groupe Clop ayant menacé de rendre les données publiques si elles ne payaient pas.
Le 1er mars, l’entreprise de sécurité FireEye a partagé les résultats de son enquête dans l’incident, en concluant que deux groupes de pirates informatiques distincts, inconnus jusqu’alors, ont respectivement mené la série de piratages et le travail d’extorsion. Les hackers semblent avoir connexions au groupe de crimes financiers FIN11 et au gang de rançon Clop. Parmi les victimes connues du public, on compte la Banque de réserve de Nouvelle-Zélande, l’État de Washington, la Commission australienne des valeurs mobilières et des investissements, le groupe singapourien de télécommunications Singtel, le célèbre cabinet d’avocats Jones Day, la chaîne d’épiceries Kroger et l’université du Colorado ; la semaine dernière, la société de cybersécurité Qualys a rejoint leurs rangs.
Les quatre vulnérabilités se trouvent dans le dispositif de transfert de fichiers d’Accellion, essentiellement un ordinateur dédié utilisé pour déplacer des fichiers volumineux et sensibles au sein d’un réseau.
« Ces vulnérabilités sont particulièrement dommageables, car dans un cas normal, un attaquant doit chasser pour trouver vos fichiers sensibles, et c’est un peu un jeu de devinettes, mais dans ce cas, le travail est déjà fait », déclare Jake Williams, fondateur de la société de sécurité Rendition Infosec, qui travaille à remédier à une brèche liée à l’ALE d’Accellion. « Par définition, tout ce qui est envoyé via Accellion FTA a été pré-identifié comme sensible par l’utilisateur ».
L’exploitation généralisée de l’ALE Accellion a joué ces derniers mois aux côtés d’autres des piratages massifs de l’État-nation qui visait la société de services informatiques Solarwinds et le système de courrier électronique géré Microsoft Exchange Server. Ces deux initiatives semblent avoir touché des milliers d’entreprises, mais principalement à des fins d’espionnage. Les hackers d’Accellion, en revanche, semblent motivés par le profit criminel.
« Dans le monde entier, des acteurs ont exploité les vulnérabilités pour attaquer de multiples organisations gouvernementales fédérales et étatiques, locales, tribales et territoriales ainsi que des organisations du secteur privé, notamment dans les secteurs médical, juridique, des télécommunications, de la finance et de l’énergie », a déclaré fin février l’Agence de cybersécurité et de sécurité des infrastructures du ministère de la sécurité intérieure dans un déclaration commune avec les autorités internationales. « Dans certains cas observés, l’agresseur a ensuite extorqué de l’argent aux organisations victimes pour empêcher la diffusion publique d’informations exfiltrées de l’appareil Accellion ».
Accellion n’a cessé de souligner que son produit ALE, qui existe depuis plus de 20 ans, est à la la fin de sa vie. La société avait déjà prévu de mettre fin à son soutien à FTA le 30 avril, et avait cessé de soutenir son système d’exploitation, Centos 6, le 30 novembre. L’entreprise affirme qu’elle travaille depuis trois ans à la transition des clients de FTA vers sa nouvelle plate-forme, Kiteworks.
« Depuis que nous avons pris connaissance de ces attaques, notre équipe a travaillé 24 heures sur 24 pour développer et publier des correctifs qui résolvent chaque vulnérabilité identifiée de l’ALE, et pour soutenir nos clients touchés par cet incident », a déclaré Jonathan Yaron, PDG d’Accellion, dans un déclaration lundi dernier.
Les personnes ayant répondu à l’incident affirment cependant qu’Accellion a été lent à tirer la sonnette d’alarme sur le risque potentiel pour les utilisateurs de l’ALE.
Voir aussi :
Poster un commentaire