La société TeamViewer a annoncé, vendredi 28 juin, avoir détecté une intrusion informatique attribuée à APT29, une unité des services de renseignements extérieurs russes régulièrement identifiée dans des opérations d’espionnage très sophistiquées.
Le communiqué de l’entreprise, qui avait annoncé la veille avoir identifié des « irrégularités » dans son système, inquiète au plus haut point les experts. TeamViewer est connue pour commercialiser dans le monde entier des outils très populaires d’accès à distance, utilisés par exemple pour partager le contrôle d’un ordinateur lors d’un dépannage. TeamViewer estime pour le moment que l’attaque a été circonscrite à une partie du réseau et que les pirates n’ont pas réussi à accéder à des données de clients ou à l’infrastructure concernant les produits développés par l’entreprise. Une nouvelle communication est attendue d’ici la fin de la soirée (heure française).
L’entreprise affirme que cette attaque a démarré le 26 juin et utilisait les identifiants d’un employé, une porte d’entrée très classique dans les cas d’intrusion informatique dans le réseau d’une entreprise. Une alerte avait été émise le 27 juin par la société spécialisée en sécurité informatique NCC Group, qui affirmait avoir reçu des informations faisant état d’une compromission de TeamViewer par APT29.
Le développeur allemand, comptant des centaines de milliers de clients dans le monde, représente une cible de choix pour les groupes spécialisés dans l’espionnage. Ses logiciels distribués très largement, s’ils venaient à être compromis ou modifiés, représenteraient une porte d’entrée idéale pour prendre le contrôle d’autres réseaux. Ces attaques appelées « supply chain », parce qu’elles ciblent les fournisseurs de service qui irriguent des entreprises mais aussi des institutions dans le monde entier, sont aujourd’hui une des principales menaces aussi bien en matière d’espionnage que de cybercriminalité.
Un acteur spécialisé dans l’espionnage
Le groupe APT 29 est un des principaux acteurs impliqués dans les opérations de cyberespionnage russes. Le 19 juin, l’Agence nationale de la sécurité des systèmes d’information (Anssi) publiait un rapport détaillant comment ce groupe, aussi appelé Nobelium, avait ciblé depuis 2021 de nombreux diplomates français. L’ambassade de France à Kiev avait notamment été ciblée par un e-mail contenant une pièce jointe vérolée.
APT29 s’est en outre déjà illustré par des attaques du type de celle qui a frappé TeamViewer. « Ils attaquent ces entreprises des nouvelles technologies pour atteindre leurs clients, et espérer trouver des informationqs qui viendront nourrir la stratégie du Kremlin », souligne John Hultquist, analyste en chef de l’entreprise spécialisée Mandiant, dans un communiqué transmis au Monde. Ainsi, une attaque extrêmement sophistiquée révélée en 2020 avait ciblé l’entreprise de développement informatique SolarWinds, vendant ses outils à des entreprises et institutions dans le monde entier. Les pirates d’APT29 étaient parvenus à installer, dans un logiciel commercialisé par la société, une porte dérobée permettant d’espionner les clients touchés.