L’an dernier, 43% des PME françaises ont connu un incident de cybersécurité… et certaines de celles faisant partie des 170 000 clients d’AnyDesk n’échapperont pas à cette malheureuse règle. Focus dans cet article sur la manière dont IPgarde et Cyberenity ont géré cette alerte pour éviter à leurs clients d’atteindre le stade de véritable incident.
Cyberattaque d’AnyDesk : que s’est-il passé et quelles conséquences potentielles ?
Quelques jours après les deux infiltrations dans les réseaux entreprise dont a été victime l’application TeamViewer, c’est cette fois-ci l’éditeur de logiciel allemand qui a déclaré, le 2 février 2024, avoir été victime d’une cyberattaque compromettant possiblement des informations de connexion des utilisateurs.
Chronologie des faits :
Avant le 29.01.24 : AnyDesk a été victime d’une cyberattaque amenant à une compromission des systèmes de production, au vol d’extraits du code source et de certains certificats / clés privés (notamment en Europe, hors Espagne et Portugal). Cette attaque ne touche que les utilisateurs des versions précédant les versions 7.0.15 et 8.0.8 (sous Windows, les bornes sur les autres systèmes d’exploitation étant encore inconnues).
Le 29.01.24 : Désactivation de l’accès au site my.anydesk pour une « opération de maintenance ». En parallèle, l’ANSSI est alertée qu’AnyDesk est victime d’une fuite de données.
Le 02.02.24 : AnyDesk annonce publiquement l’incident. La société déclare notamment qu’il « ne s’agit pas d’un ransomware », qu’elle a « immédiatement activé un plan de remédiation et de réponse impliquant les experts en cybersécurité de CrowdStrike » et que « Les autorités compétentes ont été informées et nous travaillons en étroite collaboration avec elles ». Suite à cette attaque, AnyDesk a révoqué tous ces certificats et en a publié de nouveaux, mais également réinitialisé tous les mots de passe de son portail web.
Le 04.02.24 : La société de cybersécurité Resecurity publie un article de blog dans lequel des chercheurs ont identifié 2 menaces distinctes sur le dark web liées à la cyberattaque : - La mise en vente d’entre 18 000 et 30 000 identifiants AnyDesk par un hacker au pseudo de « Jobaaaaa » - Le pistage d’accès non autorisés après la révélation de la faille. Autrement dit, l’accès au compte AnyDesk d’utilisateurs n’ayant pas changé leur mot de passe.
Le 07.02.24 : AnyDesk fait une seconde prise de parole. La société annonce qu’il n’y a aucune preuve de données clients exfiltrés à ce jour, bien qu’elle continue de collaborer avec les autorités compétentes. Une FAQ est mise en ligne pour éclairer la situation.
Risques éventuels principaux de la cyberattaque
D’après le CERT et l’éditeur AnyDesk, les données exfiltrées lors de la cyberattaque pourraient potentiellement être réutilisées dans le cadre d'attaques ultérieures visant les utilisateurs des solutions AnyDesk. Ces attaques sont susceptibles de :
Viser à affaiblir la sécurité de l'infrastructure de communication entre utilisateurs AnyDesk, par exemple au travers d'attaques de type homme du milieu/attaque de l'intercepteur (Meddler in the Middle/Man in the Middle) ;
Mise à jour AnyDesk a par la suite affirmé qu’il n’a jamais été possible d’usurper une connexion, mais il est légitime d’avoir le réflexe de le vérifier vis-à-vis d’un éditeur de prise de contrôle à distance.
Viser à altérer les logiciels publiés par l'entreprise ou identifiés comme produits par l'entreprise.
Avant l’intervention officielle d’AniDesk dans leur FAQ, il n’était pas à exclure qu’un hackeur malveillant puisse accéder à des données de propriété intellectuelle, ou des données confidentielles, en prenant le contrôle d’une machine à distance via l’application AnyDesk compromise.
La réaction d’IPgarde et Cyberenity face à cette cyberattaque
Alerte du CTN Cyberenity
Le CTN (Centre de Télésurveillance Numérique) Cyberenity est un SOC auquel tous les équipements de nos clients sont connectés. Son rôle 1ᵉʳ est de donner l’alerte à vos équipes IT dans les plus brefs délais en cas d’alerte majeure. Il est capable de détecter une intrusion directe dans vos SI, et mène en parallèle une veille constante auprès des autorités et des sources sûres faisant étal d’une attaque de masse (ce qui est le cas dans ce sujet AnyDesk).
En réaction à l’alerte, le protocole suivant a été suivi :
Analyse des risques, construction de la réponse à donner et priorisation des actions à mener
Alerte rapide auprès de nos clients (dans le cas d’AnyDesk, aucun client n’avait été en capacité d’enclencher une procédure personnelle avant que le CTN ne leur donne l’alerte).
Le signal d’alerte contient : - L’information d’une vulnérabilité importante découverte (d’où vient elle, quels sont les risques…) - Les recommandations d’actions à mener pour identifier les postes et appareils portant une trace des versions compromises d’AnyDesk (action faite directement par le CTN pour ses clients grâce à une console centralisée d’EDR développée en interne) - Les recommandations pour éliminer la menace des SI des clients à court terme - Les recommandations avancées pour rechercher des artefacts de l’application compromise, mais également les fichiers signés par les certificats usurpés. - L’accompagnement à l’archivage des données pour faciliter le déroulé des levées dans le futur.
Analyse de fond des données pour vérifier si la situation est redevenue normale suite aux actions de chaque service IT
L’alerte et les recommandations rapides du CTN ont donc permis une intervention rapideévitant un incident majeur sur les SI de nos clients.
Alerte et prise en charge par IPgarde
Le CTN Cyberenity étant une branche spécialisée d’IPgarde, nous avons également pu remonter l’alerte à nos clients.
IPgarde a ensuite pu enclencher des réponses à cette alerte :
Quand l’infrastructure l’a permis (si les clients en monitoring / infogérance chez IP garde étaient équipés d’un Remote Monitoring and Management (RMM par exemple) : nos équipes ont pu directement identifier les équipements corrompus et intervenir dessus pour isoler ou supprimer l’alerte
Quand l’infrastructure ne le permettait pas (clients exclusivementsur de l’offre connexion fibre par exemple) : nous leur avons transmis toutes les recommandations de mesures à suivre pour que leurs équipes IT puissent être informées et résoudre l’alerte.
Enseignements de ce type de cyberattaques
Des alertes comme la cyberattaque d’AnyDesk permettent de tirer 2 enseignements majeurs :
L’importance d’être accompagné par un prestataire spécialisé
Que ce soit au niveau de l’alerte (CTN Cyberenity) ou de la réponse opérationnelle (IPgarde), les équipes IT des TPE/PME peuvent s’appuyer sur des spécialistes de ce genre de situations. La question n’étant pas de savoir « si » vous subirez une cyberattaque, mais plutôt « quand », il devient primordial d’être prévenu et accompagné de manière rapide et structurée pour éviter de faire partie des 43% de PME françaises ayant connu un incident impactant de cybersécurité dans les stats de l’année prochaine.
L’importance d’avoir un parc informatique parfaitement maîtrisé
Avoir un parc informatique parfaitement maîtrisé lors d’une cyberattaque permet 3 avantages majeurs :
Être alerté rapidement en cas d’intrusion ou d’alerte
Mais surtout éviter une rupture totale ou partielle d’activité siun service légitime est touché (c’est le cas d’AnyDesk qui est un des outils principaux de travail chez certaines entreprises) : sans maîtrise du parc, la réponse passe obligatoirement par la désinstallation et la non-utilisation du service touché le temps de la réparation. Au contraire, avec un parc maîtrisé, les équipes d’infogérance peuvent être en capacité d’annihiler l’attaque en agissant sur certains points spécifiques des SI, en isolant ou supprimant l’alerte sur un point donné par exemple. Le service légitime peut ainsi continuer d’être utilisé lors de la remédiation de l’alerte.
Si vous estimez à la lecture de cet article que votre parc informatique n’est pas totalement maîtrisé, ou que vous n’êtes pas suffisamment structuré en cas d’alerte de cyberattaque dans un futur proche, n’hésitez pas à nous contacter via le bouton ci-dessous ⬇️