Palmarès 2023 : le triste bilan du hack de MOVEit, le piratage le plus marquant de l’année

Pourquoi faire de la sécurisation des infrastructures critiques une priorité ?



C’est sans conteste la plus mauvaise nouvelle de l’année 2023 qui s’achève. Le piratage du logiciel de transfert sécurisé MOVEit par les cybercriminels de Cl0p, repéré à la fin mai dernier, s’est traduit par un nombre impressionnant de victimes. Il a été évalué à 2691 organisations dans le dernier décompte de l’entreprise de sécurité informatique Emsisoft.


La dernière victime en date est le groupe d’assurance dentaire Delta Dental. L’entreprise vient de signaler tardivement le vol d’informations personnelles – dont des informations bancaires – de 7 millions de ses clients américains. En France, deux entreprises avaient notamment été touchées, le fournisseur de services de diagnostics médicaux Synlab et le spécialiste des logiciels métiers destinés aux professionnels de la santé et de l’assurance Cegedim.



Comme en convient Emsisoft, il est impossible de calculer le coût de ces piratages. Selon une étude d’IBM, une violation de données coûte en moyenne 165 dollars. Avec les 91 millions de personnes concernées dans le piratage de MOVEit, cela aboutit à une astronomique ardoise potentielle d’environ 15 milliards de dollars.


Faille dans l’application web

Pour ce piratage d’ampleur, Cl0p s’est appuyé sur une faille découverte dans l’application web du logiciel de transfert de fichiers. Vulnérable à une attaque par injection SQL, elle a permis aux cybercriminels de s’authentifier comme l’un des utilisateurs avant ensuite d’exfiltrer les données présentes sur les comptes piratés.


Les spécialistes de la sécurité informatique avaient alors remarqué que l’attaque ne s’était pas traduite par le déploiement d’un rançongiciel. Sans doute pour aller plus vite et éviter d’être détecté. Le gang s’était également appuyé sur des torrents pour publier les données volées. Soit une façon d’augmenter la pression sur leurs victimes, avec une diffusion bien plus rapide que sur un site Tor.

Vulnérabilité repérée dès 2021

Ce piratage dévastateur a été soigneusement préparé. Pour la société de conseil Kroll, les cybercriminels de Cl0p “expérimentaient probablement des moyens d’exploiter cette vulnérabilité dès 2021”. La firme note également que le tempo de l’attaque, une chaîne d’exploitation automatisée, coïncide avec un week-end férié aux Etats-Unis.


Le gang de cybercriminels Cl0p est identifié par les chercheurs en sécurité informatique sous la dénomination de TA505. Ce groupe russophone, suivi depuis près de dix ans, est qualifié de “mature et sophistiqué” par l’Anssi. La preuve avec cette attaque contre MOVEit, le résultat d’une stratégie mûrement pensée.

Expertise cybercriminelle

Comme le rappelle l’Anssi, “l’exploitation de vulnérabilités dans des solutions de transfert de fichiers sécurisé ne semble pas aléatoire”. Ces applications utilisées par de grandes organisations permettent en effet “un accès immédiat à de nombreux documents”. “Il est probable que ce groupe ait développé une expertise et cherche à exploiter d’autres applications de cette catégorie de solutions dans le cadre de campagnes s’apparentant à des attaques par supply chain”, avertit le cyber-pompier français.



Le jeu en vaut manifestement la chandelle pour les cybercriminels. Selon la société d’investigation Chainalysis, citée par Le Monde, le piratage aurait permis de récolter frauduleusement environ cent millions de dollars de rançons. En juillet, le spécialiste de la négociation Coveware avait estimé qu’il était probable que les gains des cybercriminels s’établissent dans une fourchette comprise entre 75 et 100 millions de dollars.



Des sommes extorquées, ajoutait-il, à un petit nombre de victimes prêtes à payer des rançons très élevées. Un trésor de guerre qui devrait désormais servir à financer de nouvelles actions criminelles.




Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.