Le hack de MOVEit est l’un des plus importants piratages survenus cette année. Des mois après l’attaque, les chercheurs continuent de découvrir de nouvelles conséquences désastreuses découlant directement de l’intrusion. Des milliers d’entreprises ont effet perdu des données sensibles à la suite de l’attaque. On fait le point sur toute l’affaire.
En mai dernier, l’éditeur Progress Software à découvert une faille de sécurité dans le code de MOVEit. Le logiciel est conçu pour permettre des transferts de fichiers en toute sécurité. Il s’agit d’une faille dite « zero day ». La brèche était donc inconnue des développeurs… et activement exploitée par des hackers.
Selon l’entreprise, la vulnérabilité a été exploitée par des pirates au cours du weekend du 28 mai 2023. Apparemment, des hackers sont parvenus à pénétrer dans le système en exploitant la faille, qui était considérée comme critique. Ils ont alors pu « obtenir un accès non autorisé aux bases de données », révèle Progress Software.
« Lorsque nous avons découvert la vulnérabilité, nous avons rapidement lancé une enquête, alerté les clients de MOVEit sur le problème et fourni des mesures d’atténuation immédiates », affirme Progress Software dans un communiqué adressé à la presse.
La vulnérabilité a été repérée dans le code des versions web et des versions cloud de MOVEit. Pour Rick Holland, directeur de la sécurité de l’information chez ReliaQuest, « il y a plus de 1 000 serveurs [dans le monde] exécutant des versions non corrigées du logiciel ».
À lire aussi : Comment l’ADN de millions d’individus a été volé par des pirates
Un hack signé Clop
La piste a rapidement été remontée jusqu’aux cybercriminels de Clop, un gang spécialisé dans les ransomwares. Basée en Russie, l’organisation cybercriminelle s’impose généralement parmi les gangs les plus actifs au monde, juste derrière le redoutable Lockbit. Le gang est actif depuis au moins 2019.
Progress Software a promptement déployé un correctif pour bloquer l’accès de Clop à son logiciel de transfert. Comme l’explique la société, des mesures ont été prises pour endiguer l’attaque :
« Nous avons désactivé l’accès Web à MOVEit Cloud pour protéger nos clients Cloud, développé un correctif de sécurité pour remédier à la vulnérabilité, l’avons mis à la disposition de nos clients MOVEit Transfer et patché et réactivé MOVEit Cloud, le tout dans les 48 heures »
La réactivité de l’entreprise a permis de tenir les hackers à l’écart. Malheureusement, les cybercriminels russes avaient largement eu le temps de piocher dans la base de données à la recherche d’informations exploitables. Pour l’expert Rick Holland, toutes les firmes qui utilisent MOVEit doivent supposer qu’elles sont compromises et doivent prendre des précautions. Notez d’ailleurs que le logiciel est utilisé par de nombreuses entreprises américaines et britanniques qui doivent transférer des fichiers sensibles. C’est notamment le cas d’entités liées au gouvernement. Dans le monde, Progress Software cumule plus de 100 000 clients.
Des vols de données en cascade
Dès juin 2023, Clop a mis en garde les entreprises qui se servent du logiciel MOVEit. Dans un communiqué sur son site officiel du dark web, le gang informait « les entreprises qui utilisent le produit Progress MOVEit que le hasard est que nous téléchargeons beaucoup de vos données ». Pour éviter une fuite de données, Clop encourageait les sociétés à prendre contact d’urgence afin d’entamer des négociations.
En l’absence de prise de contact, le groupe s’engageait à divulguer les données obtenues durant le hack de MOVEit sur son site, baptisé « CL0P^_- LEAKS ». En exploitant l’accès à MOVEit, Clop a en effet pu voler une montagne de données à une pléthore de firmes. Dans un premier temps, Clop a assuré que les données relatives aux gouvernements, aux villes et aux services de police ont été supprimées. Cette affirmation s’est révélée fausse.
Sans grande surprise, le piratage de MOVEit a donc été suivi par une vague de hacks visant des entreprises. Ces attaques ont été orchestrées à l’aide des données disparues en mai. D’après la société de distribution de logiciels antivirus Emsisoft, plus de 2 000 organisations ont été visées à la suite du hack. Au total, ces attaques en série ont conduit à la fuite de données personnelles concernant… plus de 62 millions de personnes. Pour réaliser cette estimation, Emsisoft s’est appuyé sur « des notifications de violation de l’État, des dépôts de la SEC (NDLR : Securities and Exchange Commission), d’autres divulgations publiques, ainsi que du site Web de Cl0p ». Selon le dernier décompte, le piratage a coûté plus de dix milliards de dollars.
Parmi les principales victimes recensées, on trouve Shell, British Airways, American Airline, Deutsche Bank, le ministère de l’Énergie des États-Unis, l’Université Harvard, l’Université de Stanford ou encore le registre des naissances du gouvernement de l’Ontario. L’administration indique que les données sensibles de 3,4 millions de personnes, dont 2 millions de bébés et des futurs parents. Citons aussi Sony. Le géant japonais a reconnu début octobre faire partie des nombreuses victimes collatérales du hack. L’entreprise nippone affirme que les données personnelles de près de 7 000 employés ou anciens salariés ont potentiellement été volées.
Une réaction en chaîne
La faille a de MOVEit a provoqué une réaction en chaîne. Dans certains cas, la compromission d’un des clients de Progress Software a permis aux criminels de pénétrer dans les systèmes d’un fournisseur tiers, qui n’utilisaient pas forcément MOVEIt. Les chercheurs d’Emsisoft résument la situation en ces termes :
« certaines organisations ont été touchées parce qu’elles ont utilisé un fournisseur qui a utilisé un entrepreneur qui a utilisé un sous-traitant qui a utilisé MOVEit ».
C’est ce qu’il s’est passé avec la British Airways et la BBC. La chaîne britannique s’est retrouvée dans le collimateur des hackers à cause de Zellis, son fournisseur de services liés aux ressources humaines :
« Nous sommes au courant d’une violation de données chez notre fournisseur tiers, Zellis, et nous travaillons en étroite collaboration avec eux alors qu’ils enquêtent de toute urgence sur l’étendue de la violation ».
Pour finir, les données des employés de la BBC, dont les prénoms et les noms de famille, les dates de naissance, les numéros d’assurance nationale et la première ligne de leurs adresses, ont été divulguées. Aux dires de Bret Callow, il y a de nombreuses personnes « qui ne savent pas encore qu’elles ont été touchées » et il faudra encore des années pour arriver à un décompte final.
Pour les entreprises, il est très difficile de se protéger contre ces attaques provenant de la chaîne d’approvisionnement. Aussi connues sous le nom d’attaques de la « supply chain », elles ciblent les maillons les plus faibles de la chaîne d’approvisionnement d’une organisation. Plutôt que de viser directement l’entreprise dans leur collimateur, les attaquants exploitent les vulnérabilités présentes chez les fournisseurs, les partenaires ou d’autres acteurs impliqués dans la chaîne logistique. Les hackers visent évidemment le maillon dont les mécanismes de sécurité sont les plus rudimentaires.
« Ce n’est pas seulement leur propre sécurité dont ils doivent se préoccuper, c’est aussi la sécurité de leurs chaînes d’approvisionnement. Ce qui complique encore les choses, c’est le fait que les attaques tirent parti des vulnérabilités zero-day », indique Emsisoft.
Grâce au hack de MOVEit, les pirates de Clop ont gagné une petite fortune. Une étude réalisée par Coverware, spécialiste en cybersécurité, estime que Clop devrait amasser entre 75 et 100 millions de dollars en faisant chanter une poignée des victimes du piratage.
Source :
Wired