Après avoir enquêté, le piratage de TeamViewer semble être l’œuvre d’APT29, l’organisation russe qui est également à l’origine du piratage de SolarWinds. Heureusement, cette fois-ci, l’ampleur des dégâts reste limitée.
TeamViewer donne plus de détails sur le piratage découvert la semaine dernière. Il semble que l’entreprise soit échappée belle. En effet, selon les recherches de TeamViewer et de spécialistes externes de la sécurité, c’est APT29 qui est responsable. Cette organisation criminelle est dirigée par le Kremlin russe.
APT29, également connu sous le nom de Midnight Blizzard ou Cozy Bear, a gagné en notoriété en piratant le logiciel de gestion informatique Orion de SolarWinds. Grâce à cet outil, les pirates ont pu accéder à l’environnement informatique d’environ 18 000 entreprises.
640 000 victimes potentielles
APT29 avait probablement un objectif très similaire pour TeamViewer. Le logiciel de l’entreprise permet d’accéder à des ordinateurs à distance. Environ 640 000 clients utilisent la solution de bureau à distance de TeamViewer.
Heureusement, TeamViewer a détecté le piratage à temps. L’entreprise l’a clairement indiqué dans une réponse accompagnée de mises à jour. TeamViewer et le spécialiste externe de la sécurité ont depuis remonté la piste du piratage jusqu’au compte d’un employé, pour lequel APT29 a obtenu des identifiants de connexion. Le 26 juin, le système de sécurité de TeamViewer a immédiatement détecté une activité suspecte.
Meilleures pratiques
Cette mesure a probablement limité l’impact du piratage. Quoi qu’il en soit, TeamViewer confirme que les attaquants n’ont pas eu accès à l’environnement de production. « Nous avons établi une stricte séparation entre notre réseau informatique d’entreprise, l’environnement de production et la plateforme TeamViewer, conformément aux meilleures pratiques », a déclaré TeamViewer. « Cela signifie que nous séparons strictement tous les serveurs, réseaux et comptes, pour éviter tout risque de mouvement non autorisé entre les différents environnements. »
Les pirates d’APT29 n’ont pas quitté l’environnement de TeamViewer les mains vides. Ils ont réussi à capturer des données sur les employés, telles que les noms et les mots de passe chiffrés. Les employés concernés ont été informés et TeamViewer a pris des mesures pour mettre fin à l’utilisation abusive de ces données. Entre-temps, l’entreprise a commencé à reconstruire l’environnement informatique pour qu’il soit fiable.