LANDESK, une entreprise qui vend des logiciels pour aider les organisations à gérer en toute sécurité et à distance leurs flottes d’ordinateurs de bureau, de serveurs et d’appareils mobiles, a alerté les employés la semaine dernière qu’une violation de données pourrait avoir exposé leurs informations personnelles. Mais les employés de LANDESK contactés par cet auteur affirment que la violation pourrait aller beaucoup plus loin pour l’entreprise et ses clients.
LANDESK, basé à South Jordan, dans l’Utah, fabrique et commercialise des logiciels qui aident les organisations à gérer tous les utilisateurs, plates-formes et appareils à partir d’un seul tableau de bord numérique. Le logiciel de la société est spécialisé dans l’automatisation et l’intégration de la gestion des systèmes informatiques, de la gestion de la sécurité des terminaux, de la gestion des services, de la gestion des actifs informatiques et de la gestion des appareils mobiles.
Le 18 novembre 2015, LANDESK a envoyé une lettre aux employés actuels et anciens les avertissant d’une intrusion, déclarant qu' »il est possible que, grâce à cette compromission, des pirates aient obtenu des informations personnelles, y compris les noms et numéros de sécurité sociale, de certains employés de LANDESK et anciens employés de Wavelink.
LANDESK a refusé de répondre aux questions pour cette histoire. Mais l’entreprise a partagé une déclaration écrite qui reflète une grande partie du texte de la lettre envoyée aux employés concernés :
«Nous avons récemment pris connaissance d’une activité inhabituelle sur nos systèmes et avons immédiatement lancé des mesures de protection par précaution et commencé une enquête. Dans le cadre de notre enquête en cours en partenariat avec une société d’informatique judiciaire de premier plan, nous avons récemment appris qu’une petite quantité d’informations personnellement identifiables pour un nombre limité de nos employés peut avoir été accessible pendant la violation. Bien qu’aucune compromission de données d’informations personnellement identifiables ne soit confirmée à ce stade, nous avons fourni des informations et des ressources de sécurité aux personnes susceptibles d’avoir été affectées. La sécurité de nos réseaux est notre priorité absolue et nous agissons en conséquence.
« Les quelques employés susceptibles d’avoir été touchés ont été informés rapidement, et à ce stade, l’impact semble être assez faible. »
Selon un employé de LANDESK qui a parlé sous couvert d’anonymat, la brèche a été découverte assez récemment, mais les journaux système montrent que les attaquants a pénétré pour la première fois dans le réseau de LANDESK il y a 17 mois, en juin 2014.
L’employé, nous l’appellerons « John », a déclaré que l’entreprise n’a remarqué l’intrusion que lorsque plusieurs collègues ont commencé à se plaindre de la lenteur de la vitesse d’Internet. Un développeur de logiciels LANDESK a découvert plus tard que quelqu’un du service informatique s’était connecté à son serveur de construction, il leur a donc posé des questions à ce sujet. Le service informatique a déclaré qu’il ne savait rien du problème.
John a déclaré qu’une enquête plus approfondie a montré que les attaquants étaient capables de compromettre les mots de passe du directeur informatique mondial dans l’Utah et d’un autre administrateur de domaine en Chine.
« LANDESK a trouvé des restes de fichiers texte avec des listes de code source et de serveurs de construction compilés par les attaquants », a déclaré John. « Ils savent pertinemment que les assaillants ont été lentement [archiving] les données des serveurs de construction et de code source, en les téléchargeant sur les serveurs Web de LANDESK et en les téléchargeant. »
Les implications sont potentiellement considérables. Cette brèche s’est produite il y a plus d’un an et demi, période au cours de laquelle plusieurs versions et correctifs du logiciel LANDESK ont été publiés. LANDESK compte des milliers de clients dans tous les domaines du commerce. En compromettant LANDESK et en intégrant une porte dérobée directement dans leur code source, les attaquants pourraient avoir accès à un grand nombre d’ordinateurs et de serveurs dans le monde entier.
Le vol massif du code source de LANDESK pourrait également permettre aux développeurs de logiciels malveillants et d’exploits de trouver plus facilement des vulnérabilités de sécurité dans les logiciels de l’entreprise.
Un porte-parole de LANDESK n’a ni confirmé ni infirmé la date de la violation ou du vol de code source, affirmant seulement que l’enquête sur la violation était en cours et que l’entreprise « ne commenterait pas les spéculations ».
Mise à jour, 18 h 51 HE : Landesk vient de publier une déclaration sur son site d’assistance. La partie pertinente est ici : « Compte tenu des récentes spéculations en ligne sur la sécurité de notre produit, nous souhaitons vous rassurer sur la sécurité de nos produits et vous fournir quelques bonnes pratiques pour vous aider à renforcer votre sécurité si nécessaire. Nous ne pouvons pas commenter les détails de l’enquête, mais sur la base des informations dont nous disposons jusqu’à présent, nous n’avons pas confirmé de risque pour les environnements de nos clients, et il n’existe aucun vecteur d’attaque primaire connu utilisant le logiciel LANDESK.