L'éditeur AnyDesk, spécialisé dans les logiciels de bureau à distance, a annoncé le 2 février dernier avoir été victime d'une cyberattaque. Des informations d’identification ont été volées et mises en vente sur le darkweb malgré l’activation d’un plan de remédiation, la révocation de tous les certificats de sécurité et la correction des systèmes.
Il ne s'agit pas d'une attaque par ransomware, mais d'une intrusion. AnyDesk, éditeur de logiciel de bureau à distance se présentant comme sécurisé, a été la cible d’une cyberattaque en fin de semaine dernière. « Suite à des indications d'un incident sur certains de nos systèmes, nous avons mené un audit de sécurité et trouvé des preuves de systèmes de production compromis », a déclaré l’entreprise dans un communiqué. Un plan de remédiation a été mis en place avec le concure d'experts en cybersécurité de CrowStrike dès la découverte de l’incident. Les autorités compétentes ont quant à elles été informées.
Une situation sous contrôle mais
« Nous avons révoqué tous les certificats liés à la sécurité et les systèmes ont été corrigés ou remplacés si nécessaire. Nous révoquerons prochainement l'ancien certificat de signature de code pour nos binaires et avons déjà commencé à le remplacer par un nouveau », est-il précisé. Mais qu'en est-il des données potentiellement compromises ?
Aucune clé privée, jeton de sécurité ou mot de passe exploitable pour se connecter n'étant stocké dans ses systèmes, les appareils appartenant aux utilisateurs finaux n’ont pas été affectés a assuré AnyDesk. Toutefois, par précaution, l’entreprise a révoqué les mots de passe de son portail web et a recommandé à ses clients de changer leurs identifiants de connexion, surtout s'ils les utilisent pour accéder à d’autres services.
Au moins 18 000 identifiants mis en vente
Plus de peur que de mal donc. Pas si vite. Dès le 3 février, l’entreprise de cybersécurité Resecurity a identifié sur des forums de cybercriminels plusieurs hackers revendant des informations d’identification appartenant à des utilisateurs et des entreprises clientes de AnyDesk permettant de se connecter au portail client. « L'un de ces acteurs malveillants, sous le pseudonyme « Jobaaaaa », et qui avait initialement enregistré son compte sur le forum en 2021, a répertorié plus de 18 000 identifiants clients AnyDesk à vendre sur Exploit[.]in, un important forum du Dark Web », détaille l’entreprise. Ces données pourraient potentiellement être utilisées pour des escroqueries au support technique ou du phishing par exemple.
« Resecurity a contacté la majorité des personnes identifiées comme victimes potentielles et a confirmé qu'elles avaient utilisé les produits AnyDesk récemment ou il y a longtemps », a précisé Resecurity. Il est donc fortement recommandé de changer ses mots de passe. Les horodatages visibles sur les captures d'écran partagées par l'acteur malveillant indiquent un accès non autorisé réussi le 3 février 2024, après la divulgation de l’incident par AnyDesk.
« Cela suggère que tous les clients n'ont pas encore modifié leurs informations d'identification d'accès, ou que ce mécanisme était toujours en cours par les parties concernées », écrit AnyDesk. Il est également à noter que la majorité des comptes exposés n’avaient pas activé la double authentification (2FA).