Cisco a récemment confirmé qu’il enquêtait sur des informations faisant état d’une violation majeure de données. Les allégations ont fait surface après qu’un groupe de pirates informatiques connu, IntelBroker, a affirmé avoir obtenu un accès non autorisé aux systèmes de Cisco. Dans un article sur un forum sur la cybercriminalité, IntelBroker a expliqué avoir violé Cisco le 10 juin 2024, volant une quantité importante de données, qui comprendraient du code source, des documents internes de Cisco et des données confidentielles des clients.
Qui est derrière la violation de données Cisco ?
Un porte-parole de Cisco a partagé une déclaration avec BipOrdinateurdéclarant : « Cisco est au courant de rapports selon lesquels un acteur prétend avoir eu accès à certains fichiers liés à Cisco. Nous avons lancé une enquête pour évaluer cette allégation, et notre enquête se poursuit. Cette déclaration publique souligne l’approche prudente de Cisco tout en confirmant qu’une enquête est bien en cours. Le porte-parole n’a cependant pas révélé de détails précis concernant la nature ou l’étendue de la violation présumée.
IntelBroker a affirmé avoir collaboré avec deux autres personnes, identifiées comme EnergyWeaponUser et « zjj », pour accéder aux systèmes de Cisco. Les données compromises incluent des projets de GitHub, GitLab et SonarQube, ainsi que des informations d’identification codées en dur, des certificats SSL, des compartiments de stockage AWS et Azure, des jetons API et bien plus encore. L’auteur de la menace a également publié des échantillons des données volées, notamment des captures d’écran de divers portails de gestion client, une base de données et une documentation interne de Cisco.
Les données auraient été volées auprès d’un fournisseur de services gérés tiers impliqué dans le développement de logiciels et les services DevOps de Cisco. Des sources indiquent que ce même fournisseur a été confronté à des violations impliquant d’autres grandes entreprises, notamment T-Mobile et Apple. Cependant, il reste difficile de savoir si ce fournisseur tiers est également à l’origine des récents problèmes rencontrés par Cisco.
Quelles données auraient été compromises ?
Le message d’IntelBroker décrit un large éventail d’informations qui auraient été volées. Selon l’auteur de la menace, les données compromises incluent des projets de développement hébergés sur des plates-formes telles que GitHub, GitLab et SonarQube, qui sont essentielles aux processus de développement de logiciels de Cisco. De plus, les pirates affirment avoir obtenu des informations d’identification codées en dur intégrées au code source, ce qui pourrait potentiellement fournir un accès non autorisé à d’autres parties des systèmes de Cisco. Les certificats de sécurité, notamment les certificats SSL et les clés de chiffrement publiques et privées, auraient également été compromis, posant un risque sérieux pour la sécurité des communications au sein du réseau Cisco.
Les données volées comprennent également des documents internes étiquetés « Cisco Confidential », qui peuvent contenir des informations opérationnelles sensibles. En outre, les pirates affirment avoir accès aux jetons API et aux données de stockage cloud, y compris les compartiments privés AWS et les compartiments de stockage Azure. Ces actifs pourraient être exploités pour obtenir un accès non autorisé à des systèmes cruciaux. Les autres éléments sensibles répertoriés incluent les versions Docker, les tickets Jira et les détails liés aux produits premium de Cisco.
Entreprises potentiellement concernées
IntelBroker affirme que de nombreuses sociétés de premier plan pourraient être touchées par cette violation. Les victimes présumées proviennent de plusieurs secteurs, notamment les télécommunications, la finance et la technologie, ce qui soulève des inquiétudes quant à l’exposition potentielle d’actifs critiques. Des sociétés de télécommunications comme Verizon, AT&T (aux États-Unis et au Mexique), British Telecom, Vodafone (en Albanie et en Australie) et T-Mobile (aux États-Unis et en Pologne) ont été citées parmi les victimes potentielles. Dans le secteur financier, de grandes entités telles que Bank of America, Barclays et National Australian Bank seraient touchées. De plus, des organisations technologiques et de santé, notamment Microsoft, Liberty Global et Dignity Health, sont également répertoriées comme victimes de la violation présumée.
Même si ces affirmations doivent encore être vérifiées, l’implication d’organisations aussi prestigieuses suscite de vives inquiétudes. L’ampleur des données potentiellement compromises présente de sérieux risques non seulement pour Cisco mais également pour les entreprises concernées et leurs clients.
IntelBroker a proposé à la vente les données volées sur un forum de piratage bien connu. Selon leur message, les données sont disponibles à l’achat en utilisant Monero (XMR), une crypto-monnaie populaire pour ses fonctionnalités de confidentialité. Le pirate informatique a également exprimé sa volonté de recourir à un intermédiaire pour la transaction, ce qui est une pratique courante parmi les cybercriminels visant à garantir l’anonymat pendant le processus de vente. En utilisant une crypto-monnaie comme Monero et en proposant de faire appel à un intermédiaire, IntelBroker tente de rendre difficile aux forces de l’ordre de suivre à la fois le vendeur et l’acheteur potentiel.
Les données qui seraient proposées à la vente comprennent des informations sensibles, telles que des certificats, des jetons API et des informations d’identification qui pourraient être utilisées pour accéder aux systèmes de Cisco ou à ceux de ses clients. Les tactiques du groupe de hackers suivent une tendance plus large dans laquelle les cybercriminels monétisent souvent les données volées via des forums clandestins, les vendant même parfois à des entreprises ou à des États concurrents.
Conséquences de la violation de données Cisco
Les conséquences d’une violation de données confirmée sur Cisco pourraient être importantes, tant en termes de pertes financières que d’atteinte à la réputation. Les violations de données entraînent souvent une publicité négative, une perte de confiance des clients et une baisse de la valeur marchande de l’entreprise, autant d’éléments susceptibles d’affecter les résultats financiers de Cisco. En effet, les actions de Cisco Systems ont connu une légère baisse après que la nouvelle de la violation présumée a été rendue publique. HackManac a publié des détails sur la violation sur la plateforme sociale X (anciennement Twitter), ce qui a fait chuter les actions de 0,30 $ à 53,95 $ au cours de l’après-midi.
🚨Alerte de violation de données ‼️
IntelBroker, en collaboration avec EnergyWeaponUser et zjj, prétend vendre des données provenant d’une récente violation de Cisco.
Les données compromises incluraient des projets GitHub et GitLab, des projets SonarQube, du code source, des informations d’identification codées en dur, des certificats,… pic.twitter.com/b3ZHbLs773
– HackManac (@H4ckManac) 14 octobre 2024
Cette baisse peut refléter l’incertitude des investisseurs, en particulier à la lumière des nombreuses affirmations d’IntelBroker. Au moment de la rédaction, selon TradingView Selon les données, le cours de l’action Cisco s’élève à 54,16 dollars, ce qui montre une certaine stabilisation après l’incident.
La réponse de Cisco jusqu’à présent
La réponse de Cisco a été mesurée, fournissant des informations limitées tout en confirmant qu’elle enquêtait activement sur les allégations. Cette approche pourrait indiquer que l’entreprise s’efforce toujours de déterminer l’étendue complète de toute violation qui aurait pu se produire. Compte tenu de l’implication d’entreprises clientes de premier plan et de la nature des données volées, il est probable que Cisco subira des pressions considérables pour fournir une déclaration publique complète une fois l’enquête terminée.
Hackread.com a également signalé avoir contacté Cisco pour obtenir des commentaires, mais n’a pas encore reçu de réponse. Si ces affirmations sont confirmées, la stratégie de relations publiques de Cisco devra probablement non seulement aborder l’ampleur de l’attaque, mais également fournir des détails sur la manière dont Cisco entend atténuer les risques potentiels futurs.
IntelBroker : un historique de violations de données
IntelBroker a un historique de violations de données très médiatisées. Plus tôt cette année, le groupe de hackers a revendiqué la responsabilité de la violation de plusieurs grandes entreprises, dont T-Mobile, HPEet DMLA. Lors de l’attaque contre Apple en juin 2024, IntelBroker a affirmé avoir volé le code source lié aux outils internes de l’entreprise, tandis que dans le cas d’AMD, ils auraient eu accès à des informations sensibles sur les employés et les produits.
L’importance croissante d’IntelBroker dans la communauté de la cybercriminalité rend sa récente plainte contre Cisco particulièrement inquiétante. Même s’il reste à voir si tous les détails sont exacts, les succès antérieurs du groupe de hackers confèrent un certain niveau de crédibilité aux allégations actuelles. Les forces de l’ordre, ainsi que les entreprises concernées, surveillent probablement de près les activités d’IntelBroker, cherchant à comprendre comment ces violations se sont produites et ce qui pourrait être fait pour atténuer ces risques à l’avenir.
Crédit image en vedette : Cisco
