Géant de l’antivirus et de la sécurité Avast et fournisseur de logiciels de réseau privé virtuel (VPN) NordVPN chacun a révélé aujourd’hui des intrusions réseau de plusieurs mois qui, bien qu’elles n’aient aucun lien entre elles, partageaient une cause commune : des comptes d’utilisateurs oubliés ou inconnus qui accordaient un accès à distance aux systèmes internes avec un peu plus qu’un mot de passe.
Basé en République tchèque, Avast se présente comme le fournisseur d’antivirus le plus populaire du marché, avec plus de 435 millions d’utilisateurs. Dans un article de blog aujourd’hui, Avast a déclaré avoir détecté et traité une violation entre mai et octobre 2019 qui semblait cibler les utilisateurs de son CCleaner application, un utilitaire de nettoyage et de réparation populaire de Microsoft Windows.
Avast a déclaré qu’il avait mis les téléchargements de CCleaner hors ligne en septembre pour vérifier l’intégrité du code et s’assurer qu’il n’avait pas été injecté de logiciels malveillants. La société a également déclaré qu’elle avait invalidé les certificats utilisés pour signer les versions précédentes du logiciel et publié une nouvelle mise à jour propre du produit via une mise à jour automatique le 15 octobre. Elle a ensuite désactivé et réinitialisé toutes les informations d’identification des utilisateurs internes.
« Ayant pris toutes ces précautions, nous sommes sûrs de dire que nos utilisateurs de CCleaner sont protégés et non affectés », a déclaré Avast. Jaya Balou a écrit.
Il ne s’agit pas de la première attaque dite de « supply chain » contre Avast : en septembre 2018, des chercheurs de Cisco Talos et Morphisec divulgué que des pirates avaient piraté l’outil de nettoyage informatique pendant plus d’un mois, menant à quelque 2,27 millions de téléchargements de la version corrompue de CCleaner.
Avast a déclaré que l’intrusion a commencé lorsque les attaquants ont utilisé des informations d’identification volées pour un service VPN configuré pour se connecter à son réseau interne, et que les attaquants n’ont été confrontés à aucune sorte d’authentification multifacteur – comme un code à usage unique généré par un application mobile.
« Nous avons constaté que le réseau interne avait été accédé avec succès avec des informations d’identification compromises via un profil VPN temporaire qui avait été maintenu activé par erreur et ne nécessitait pas 2FA », a écrit Baloo.
LA BRÈCHE DU NORDVPN
Par ailleurs, NordVPN, un service de réseau privé virtuel qui promet de « protéger votre vie privée en ligne », a confirmé signale qu’il a été piraté. La reconnaissance d’aujourd’hui et l’autopsie du blog de Nord surviennent quelques heures seulement après qu’il est apparu que NordVPN avait exposé une clé privée interne expirée, permettant potentiellement à quiconque de créer ses propres serveurs en imitant NordVPN », écrit Zack Whittaker à Tech Crunch.
Le logiciel VPN crée un tunnel crypté entre votre ordinateur et le fournisseur VPN, bloquant efficacement votre FAI ou toute autre personne sur le réseau (à part vous et le fournisseur VPN) de pouvoir dire quels sites vous visitez ou afficher le contenu de vos communications . Cela peut offrir une mesure d’anonymat, mais l’utilisateur accorde également une grande confiance à ce service VPN pour ne pas être piraté et exposer ces données de navigation sensibles.
Le compte de NordVPN semble minimiser l’intrusion, affirmant que même si les attaquants auraient pu utiliser les clés privées pour intercepter et afficher le trafic de certains de ses clients, les attaquants auraient été limités à l’écoute clandestine du routage des communications via un seul des plus de 3 000 serveurs.
« Le serveur lui-même ne contenait aucun journal d’activité des utilisateurs ; aucune de nos applications n’envoie d’informations d’identification créées par l’utilisateur pour l’authentification, de sorte que les noms d’utilisateur et les mots de passe n’ont pas pu être interceptés non plus », lit le blog NordVPN. « Sur la même note, la seule façon possible d’abuser du trafic du site Web était d’effectuer une attaque personnalisée et compliquée de l’homme du milieu pour intercepter une seule connexion qui tentait d’accéder à NordVPN. »
NordVPN a déclaré que l’intrusion s’était produite en mars 2018 dans l’un de ses centres de données en Finlande, notant que « l’attaquant a eu accès au serveur en exploitant un système de gestion à distance non sécurisé laissé par le fournisseur du centre de données alors que nous ignorions qu’un tel système existait ». NordVPN a refusé de nommer le fournisseur du centre de données, mais a déclaré que le fournisseur avait supprimé le compte de gestion à distance sans les en informer le 20 mars 2018.
« Lorsque nous avons appris la vulnérabilité du centre de données il y a quelques mois, nous avons immédiatement résilié le contrat avec le fournisseur de serveurs et détruit tous les serveurs que nous leur avions loués », a déclaré la société. « Nous n’avons pas divulgué l’exploit immédiatement car nous devions nous assurer qu’aucune de nos infrastructures ne pouvait être sujette à des problèmes similaires. Cela n’a pas pu être fait rapidement en raison de l’énorme quantité de serveurs et de la complexité de notre infrastructure.
TechCrunch a reproché à NordVPN le ton quelque peu dédaigneux de sa divulgation de violation, notant que la société avait subi une violation importante qui n’a pas été détectée pendant plus d’un an.
Kenneth Blancdirecteur de la Projet d’audit cryptographique ouvert, dit sur Twitter celle basée sur les journaux Pastebin vidés détaillant l’étendue de l’intrusion, « l’attaquant disposait d’une administration à distance complète sur ses conteneurs de nœuds finlandais ».
« C’est les gens de God Mode », a écrit White. « Et ils ne se sont pas connectés et ne l’ont pas détecté. Je traiterais toutes leurs revendications avec un grand scepticisme.
ANALYSE
De nombreux lecteurs se demandent s’ils doivent protéger toutes leurs communications en ligne en utilisant un VPN. Cependant, il est important de comprendre les limites de cette technologie et de prendre le temps de rechercher des fournisseurs avant de leur confier pratiquement toutes vos données de navigation – et peut-être même d’aggraver vos problèmes de confidentialité dans le processus. Pour une ventilation de ce que vous devez garder à l’esprit lorsque vous envisagez un service VPN, consultez cet article.
Les comptes d’utilisateurs oubliés qui fournissent un accès à distance aux systèmes internes – tels que les VPN et les services de bureau à distance (RDP) – sont une source persistante de violations de données depuis des années. Des milliers de petites et moyennes entreprises physiques ont été débarrassées de millions d’enregistrements de carte de paiement client au fil des ans lorsque leurs sous-traitants informatiques piratés ont utilisé les mêmes informations d’identification d’accès à distance sur chaque site client.
Presque toutes ces violations auraient pu être arrêtées en exigeant une deuxième forme d’authentification en plus d’un mot de passe, qui peut facilement être volé ou hameçonné.
L’attaque persistante de la chaîne d’approvisionnement contre Avast me rappelle quelque chose que je réfléchissais l’autre jour à propos de la sagesse de permettre à certains logiciels de se mettre à jour automatiquement quand bon leur semble. J’avais entendu parler d’un lecteur qui déplorait la disparition de programmes comme Personal Software Inspector de Secunia et FichierHippoqui permettait aux utilisateurs de télécharger et d’installer automatiquement les mises à jour disponibles pour un large éventail de programmes Windows tiers.
Ces jours-ci, je me retrouve à chercher et à désactiver toutes les fonctions de mise à jour automatique dans les logiciels que j’installe. Je préfère être alerté des nouvelles mises à jour lorsque je lance le programme et avoir la possibilité d’examiner ce qui change et si quelqu’un a rencontré des problèmes avec la nouvelle version. Je suppose que vous pourriez dire que des années de gestion de surprises inattendues lors des mardis de correctifs Microsoft m’ont guéri de toute sorte d’affinité que j’avais pu avoir autrefois pour les fonctionnalités de mise à jour automatique.