S’il fallait en avoir une nouvelle preuve, l’intérêt des cyber-espions du groupe APT29 pour les attaques sur la chaîne d’approvisionnement se confirme. Après avoir été détecté cet hiver chez Microsoft, ce groupe d’attaquants affilié au service de renseignement extérieur (SVR) de la fédération de Russie vient à nouveau d’être pris la main dans le sac chez TeamViewer.
Le leader mondial d’origine allemande des solutions de support à distance a en effet repéré un grave incident de sécurité le mercredi 26 juin dernier. Ce jour-là, selon l’enquête de l’entreprise, le compte d’un employé a commencé à avoir un « comportement suspect ». Une attaque très vite attribuée à APT29. Également dénommé Midnight Blizzard, ces attaquants redoutables sont suspectés d’être à l’origine du piratage de SolarWinds.
Cible de choix
L’auteur de l’intrusion en aurait alors profité pour « copier les données de l’annuaire des employés ». Soit les noms, coordonnées et mots de passe chiffrés des salariés de TeamViewer, suggérant ainsi que cette manœuvre était une opération de reconnaissance destinée à faciliter une attaque informatique ultérieure. La firme a précisé, rassurante, que l’attaque n’avait pas affecté son environnement de produits, sa plateforme de connectivité et ses données clients.
TeamViewer constitue une cible de choix pour un groupe de cyber-espions. Son logiciel, très utilisé dans les entreprises ou les administrations, permet de prendre la main sur une machine à distance. L’entreprise compte ainsi 640 000 clients dans le monde et plus de 2,5 milliards d’installations du logiciel. Sa compromission ouvrirait ainsi massivement la voie à de nouvelles attaques.
Séparation des environnements
Toutefois, cette perspective reste pour le moment lointaine. Car l’incident dessine également en creux le portrait d’une entreprise soucieuse de sa sécurité informatique. Tout d’abord, TeamViewer précise avoir bien cloisonné son informatique, séparant de façon « stricte » son réseau interne, celui de sa production et sa plateforme de connectivité.
« Nous gardons tous les serveurs, réseaux et comptes strictement séparés », rappelle ainsi l’entreprise de Goeppingen, dans le Bade-Wurtemberg, dans le sud de l’Allemagne. Une façon de prévenir des « accès non autorisés et les mouvements latéraux entre les différents environnements ».
Ensuite, la firme vient de montrer qu’elle était capable de réagir très vite à une intrusion. TeamViewer précise à ce sujet avoir mis en place une surveillance continue, visiblement efficace. Désormais en alerte, l’entreprise signale avoir renforcé ses procédures d’authentification « à un niveau maximal », sans plus de précisions. Et commencé le chantier de la reconstruction de son informatique interne.