AnyDesk procède à une vaste réinitialisation des informations d’identification à la suite d’une cyberattaque
Une attaque de grande ampleur pour le géant AnyDesk
Le leader des outils d’accès à distance (RMM) a révoqué tous les mots de passe de son portail web alors que des chercheurs ont signalé le vol potentiel du certificat de signature de code d’AnyDesk, donnant accès aux informations d’identification de leurs clients.
Utilisé par plus de 170 000 clients comme Samsung, Nvidia, Siemens et Thales, AnyDesk est régulièrement souvent la cible d’acteurs malveillants qui cherchent à accéder aux fournisseurs de services et à leurs clients, selon les autorités cyber.
Selon l’Agence pour la Cybersécurité et la Sécurité des Infrastructures, l’exploitation et les attauqes contre les logiciels RMM représentent un risque croissant pour les PME.
« Actuellement, l’équipe de recherche de Huntress estime que le risque le plus important résultant de cette violation est la compromission potentielle du certificat de signature de code d’AnyDesk », a déclaré Matt Kiely, chercheur principal en sécurité chez Huntress, par courrier électronique. « Si le certificat a été volé, un acteur de la menace pourrait signer une charge utile malveillante avec le certificat de signature volé afin d’échapper à la détection. »
Alex Stamos, directeur de la confiance chez SentinelOne, a critiqué AnyDesk pour avoir révélé l’attaque vendredi en fin de journée. « D’après le journal des modifications, il est clair qu’ils le savaient depuis le 29 janvier, mais qu’ils ne l’ont annoncé qu’en fin de journée, un vendredi. Ce n’est pas cool », a déclaré M. Stamos dans une publication LinkedIn.
M. Stamos a également remis en question l’insistance d’AnyDesk sur le fait que sa base d’installation est sécurisée, bien que son certificat de signature de code ait été volé lors de l’attaque.
Évolutions de la situation
AnyDesk a déclaré avoir révoqué tous les mots de passe de son portail web par mesure de précaution et a encouragé ses clients à changer leurs mots de passe si les mêmes informations d’identification sont utilisées ailleurs.
« À ce jour, nous n’avons aucune preuve que des appareils d’utilisateurs finaux ont été affectés », a déclaré la société dans son billet de blog. « Nous pouvons confirmer que la situation est sous contrôle et qu’il est possible d’utiliser AnyDesk en toute sécurité. Veuillez vous assurer que vous utilisez la dernière version, avec le nouveau certificat de signature de code ».
De même, Un des hackers connecté sous le pseudo « Jobaaaaa », a listé, sur un forum du dark web plus de 18 000 identifiants AnyDesk à vendre. Un chiffre qui pourrait monter à 30 000, selon d’autres chercheurs.
Pour ces comptes, le pirate a proposé 15 000 dollars, à payer en cryptomonnaie Bitcoin ou Monero.
