AnyDesk a été piraté, a annoncé aujourd’hui une récente cyberattaque qui a pénétré les systèmes de production de l’entreprise. Cette violation a entraîné le vol du code source et des clés privées de signature de code.
Réputé pour permettre aux utilisateurs d’accéder à des ordinateurs à distance via des réseaux ou Internet, le logiciel d’AnyDesk est un choix privilégié non seulement parmi les entreprises pour l’assistance à distance et la gestion de serveurs colocalisés, mais également parmi les cybercriminels recherchant un accès persistant aux appareils et réseaux compromis.
Avec une clientèle comprenant de grands noms comme 7-Eleven, Comcast, Samsung, MIT, NVIDIA, SIEMENS et les Nations Unies, la société compte plus de 170 000 clients dans le monde.
Comment AnyDesk a piraté
Vendredi soir, AnyDesk a communiqué avec BipOrdinateur, révélant un premier indice de la situation de piratage d’AnyDesk grâce à des activités anormales observées sur leurs serveurs de production. Une analyse de sécurité complète, avec le soutien des spécialistes de la cybersécurité de CrowdStrike, a validé la violation de leurs systèmes, propulsant la mise en œuvre d’un plan de réponse détaillé.
Bien qu’AnyDesk se soit abstenu de fournir des comptes rendus détaillés de la compromission des données, BipOrdinateur a révélé que les auteurs s’étaient enfuis avec le code source et les certificats de signature de code. La société a en outre expliqué que le ransomware n’était pas un composant de cette cyberattaque, choisissant plutôt de se concentrer sur ses efforts de réponse sans approfondir les détails de la méthodologie de la cyberattaque.
En réaction à l’incident, AnyDesk a pris des mesures importantes pour invalider les certificats de sécurité compromis et restaurer ou remplacer les systèmes concernés. Rassurant ses utilisateurs sur l’intégrité du logiciel, AnyDesk n’a déclaré aucun risque apparent pour les appareils des utilisateurs finaux après l’épisode de piratage d’AnyDesk.
AnyDesk maintient qu’aucun jeton d’authentification n’a été compromis ; cependant, par mesure de précaution, la société révoque tous les mots de passe de son portail Web et conseille aux utilisateurs de modifier leur mot de passe si les mêmes sont utilisés ailleurs.
« AnyDesk est conçu de manière à ce que les jetons d’authentification de session ne puissent pas être volés. Ils n’existent que sur l’appareil de l’utilisateur final et sont associés à l’empreinte digitale de l’appareil. Ces jetons ne touchent jamais nos systèmes. Nous n’avons aucune indication de détournement de session car, à notre connaissance, ce n’est pas possible », a déclaré AnyDesk. BipOrdinateur.
Le processus de mise à jour vers de nouveaux certificats de signature de code est déjà en cours, a souligné Günter Born de BornCity, qui a souligné l’introduction d’un nouveau certificat dans la version 8.0.8 d’AnyDesk, publiée le 29 janvier. La mise à jour concerne principalement la transition vers ce nouveau certificat de signature de code, avec l’intention de révoquer prochainement le précédent.
Chaque détail sur le Extension de violation de données Equifax
Les versions antérieures du logiciel, ainsi que les anciens exécutables, étaient authentifiés sous « philandro Software GmbH » avec le numéro de série 0dbf152deaf0b981a8a938d53f769db8. En revanche, la dernière version porte la signature de « AnyDesk Software GmbH », identifiable par un nouveau numéro de série, 0a8177fcd8936a91b5e0eddf995b0ba5, soulignant les mesures de sécurité en place.
Les certificats restent généralement valides sauf en cas de compromission, comme un vol lors d’une cyberattaque ou une exposition accidentelle. Bien qu’AnyDesk n’ait pas précisé le moment exact de la violation, Born a souligné une interruption importante du service de quatre jours à partir du 29 janvier. Pendant cette période, AnyDesk a désactivé les capacités de connexion au client, suggérant que des mesures immédiates soient prises pour atténuer l’impact de la violation.
« my.anydesk II est actuellement en cours de maintenance, qui devrait durer au maximum 48 heures. Vous pouvez toujours accéder et utiliser votre compte normalement. La connexion au client AnyDesk sera restaurée une fois la maintenance terminée. déclare le Page de message d’état d’AnyDesk.
Hier, l’accès à la plateforme a été rétabli, permettant aux utilisateurs de se reconnecter à leurs comptes après l’incident de piratage d’AnyDesk. Bien que la société n’ait pas initialement précisé la raison de la maintenance dans ses mises à jour de statut, elle a ensuite confirmé à BleepingComputer que cela était directement lié à la résolution de la faille de cybersécurité.
À la suite de l’incident de piratage d’AnyDesk, il est fortement recommandé à tous les utilisateurs de passer à la nouvelle version du logiciel, d’autant plus que l’ancien certificat de signature de code devrait bientôt être révoqué. De plus, malgré les assurances d’AnyDesk selon lesquelles les mots de passe n’ont pas été directement compromis lors de la violation, l’accès non autorisé aux systèmes de production soulève d’importants problèmes de sécurité. Par conséquent, il est prudent pour les utilisateurs d’AnyDesk de modifier leurs mots de passe sans délai et de mettre à jour de la même manière leurs informations d’identification sur d’autres sites où les mêmes mots de passe ont été utilisés.
Cet incident s’inscrit dans une tendance inquiétante de cyberattaques contre des entreprises de renom. Cloudflare a notamment révélé une faille survenue à Thanksgiving, liée aux clés d’authentification volées lors de la cyberattaque Okta de l’année précédente. De plus, Microsoft a récemment révélé une intrusion de pirates informatiques parrainés par l’État russe, nommés Midnight Blizzard, qui avaient également ciblé HPE en mai, illustrant la nature persistante et sophistiquée des menaces.
Crédit image en vedette : James Harrison/Unsplash
