Récemment, le géant du logiciel Citrix a publié une courte déclaration dans laquelle il admettait que des pirates avaient récemment réussi à pénétrer dans son réseau interne.
Selon une déclaration du responsable de la cybersécurité, Stan Black, l’entreprise a été informée de l’attaque par le FBI le 6 mars, date à laquelle il a été établi que les hackers avaient pris des “documents commerciaux” lors de cet incident :
Cependant, les documents spécifiques qui ont pu être consultés sont actuellement toujours non connus. Pour le moment, rien n’indique que la sécurité d’un produit ou d’un service Citrix ait été compromis.
Aucune mention n’a été faite du moment précis où les attaquants ont eu accès, ni de la durée de cette attaque. Pour ce qui est de la manière avec laquelle ils ont réussi à pénétrer dans le réseau d’une entreprise censée gérer l’accès VPN de 400 000 grandes entreprises mondiales, voici quelques éléments ci-dessous :
Bien que cela n’ait pas été confirmé, le FBI a indiqué que les pirates ont probablement utilisé une technique appelée “password spraying”, qui exploite les mots de passe faibles. Une fois avoir réussi à pénétrer dans le système avec un accès limité, ils ont fait en sorte de pouvoir contourner les couches de sécurité additionnelles mises en place.
Si vous êtes un client de Citrix, outre le manque de détails, deux éléments mentionnés dans cette déclaration ont dû vous déranger : le fait que les attaquants aient pu contourner des “niveaux de sécurité additionnelles” au sein d’une entreprise majeure de technologie et le fait que l’entreprise n’ait pas eu connaissance de cette attaque avant que le FBI ne la contacte.
Resecurity
L’histoire aurait pu passer inaperçue pendant quelques jours si une entreprise peu connue, dénommée Resecurity, n’avait pas fait ses propres déclarations sur ce qui était arrivé à Citrix.
Dans un article de blog, il est indiqué que l’attaque lancée par un groupe iranien appelé Iridium avait volé “au moins” 6 To de données sensibles à Citrix, y compris des emails et des fichiers.
Le 28 décembre, Resecurity avait prévenu Citrix qu’une violation avait bien eu lieu, et qu’elle avait été planifiée et organisée pour coïncider avec la période de Noël.
Citrix faisait partie des 200 agences gouvernementales, pétrolières, gazières et technologiques ciblées lors de la campagne lancée par Iridium, a annoncé l’article de blog.
Par ailleurs, NBC News a déclaré avoir parlé au président de Resecurity, Charles Yoo, qui a déclaré que les attaquants avaient eu accès au réseau de Citrix via plusieurs comptes compromis d’employés :
C’est donc une intrusion qui a eu lieu en profondeur, avec de multiples employés compromis et un accès aux ressources internes à distance.
En résumé ?
Jusqu’à présent, les revendications de Resecurity n’ont pas été confirmées, signifiant ainsi qu’elles doivent être traitées avec prudence jusqu’à ce que plus de détails soient dévoilés. Le fait que Citrix ne les ait pas encore réfutées est peut-être déjà un signe (ou non).
Pour les clients Citrix et l’ensemble du secteur, l’importance de cette histoire se trouve dans les détails. Par exemple, Resecurity affirme que les attaquants ont trouvé des moyens de contourner l’authentification à deux facteurs (2FA) concernant “des applications et des services critique afin d’obtenir ensuite un accès non autorisé aux canaux VPN (réseaux privés virtuels) et au SSO (Single Sign-On)”.
Si cela est exact, sa gravité dépendra du type de 2FA dont on parle. S’il s’agit de codes OTP envoyés par SMS ou générés par une application, cela correspondrait à un certain nombre de compromissions signalées au cours des derniers mois concernant ce type d’authentification.
Billet inspiré de Citrix admits attackers breached its network – what we know, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.