Le fournisseur de logiciels de bureau à distance AnyDesk a confirmé vendredi soir qu’une cyberattaque avait permis à des pirates informatiques d’accéder aux systèmes de production de l’entreprise, mettant l’entreprise en lock-out pendant près d’une semaine.
Le logiciel AnyDesk est utilisé par des millions de professionnels de l’informatique pour se connecter rapidement et à distance aux appareils de leurs clients, souvent pour résoudre des problèmes techniques. Sur son site Internet, AnyDesk revendique plus de 170 000 clients, dont Comcast, LG, Samsung et Thales.
Le logiciel est également un outil populaire parmi les acteurs de la menace et les gangs de ransomwares, qui l’utilisent depuis longtemps pour obtenir et maintenir l’accès à l’ordinateur et aux données d’une victime. L’agence américaine de cybersécurité CISA a déclaré en janvier que des pirates avaient compromis des agences fédérales en utilisant des logiciels de bureau à distance légitimes, notamment AnyDesk.
La nouvelle de la violation présumée a commencé à se répandre lundi dernier lorsqu’AnyDesk a annoncé avoir échangé ses certificats de signature de code, que les entreprises utilisent pour empêcher les pirates de falsifier leur code. Après une panne de plusieurs jours, AnyDesk a confirmé vendredi dans un communiqué que la société avait « trouvé des preuves de systèmes de production compromis ».
AnyDesk a déclaré que dans le cadre de sa réponse aux incidents, la société avait révoqué tous les certificats liés à la sécurité, corrigé ou remplacé les systèmes si nécessaire et invalidé tous les mots de passe du portail Web client d’AnyDesk.
« Nous allons bientôt révoquer l’ancien certificat de signature de code pour nos binaires et avons déjà commencé à le remplacer par un nouveau », a ajouté la société vendredi.
AnyDesk a déclaré que l’incident n’était pas lié à un ransomware mais n’a pas révélé la nature spécifique de la cyberattaque.
Le porte-parole d’AnyDesk, Matthew Caldwell, n’a pas répondu à un e-mail de TechCrunch. CrowdStrike, qui travaille avec AnyDesk pour remédier à la cyberattaque, a refusé de répondre aux questions de TechCrunch lorsqu’il a été contacté lundi.
AnyDesk n’a pas répondu aux questions demandant si des données client avaient été consultées, bien que la société ait déclaré dans sa déclaration qu’il n’y avait « aucune preuve que les systèmes des utilisateurs finaux aient été affectés ».
« Nous pouvons confirmer que la situation est sous contrôle et que vous pouvez utiliser AnyDesk en toute sécurité », a déclaré AnyDesk. « Veuillez vous assurer que vous utilisez la dernière version, avec le nouveau certificat de signature de code. »
AnyDesk a déjà fait l’objet de critiques pour sa gestion de la cyberattaque jusqu’à présent. Comme l’a rapporté pour la première fois le blogueur allemand Günter Born, AnyDesk initialement revendiqué les quatre jours de perturbation à partir du 29 janvier, pendant lesquels l’entreprise a empêché les utilisateurs de se connecter, étaient de la « maintenance ». Jake Williams, un intervenant chevronné en cas d’incident, a accusé AnyDesk dans un post sur X de lancer une « démarche de relations publiques » en divulguant la cyberattaque aux clients juste avant le week-end.
Les chercheurs en sécurité affirment que les pirates vendent l’accès aux comptes AnyDesk prétendument affectés par la violation sur des forums de cybercriminalité connus, mais notent également que les détails du compte volé proviennent probablement d’infections antérieures par des logiciels malveillants impliquant un logiciel malveillant de vol de mot de passe sur l’ordinateur d’un utilisateur.
Avez-vous plus d’informations sur cet incident ? Vous pouvez contacter Carly Page en toute sécurité sur Signal au +441536 853968 ou par e-mail. Vous pouvez également contacter TechCrunch via SecureDrop.