D’après les informations de ZDNet, un hacker russe aurait publié aujourd’hui une longue liste comportant les identifiants des serveurs VPN Pulse Secure de plus de 900 entreprises. Le fichier comprend notamment les adresses IP des serveurs en question, des clés SSH, des cookies… Elle recèlerait même les détails du compte administrateur (qui dispose d’un contrôle total sur l’ensemble du réseau), une liste de tous les utilisateurs locaux, et même un registre des connexions, y compris les identifiants et mot de passe en clair.
D’après Bank Security, un analyste spécialisé dans les affaires de criminalité financière, l’auteur de cette liste aurait commencé par scanner “l’ensemble de l’espace d’adressage IPV4 d’Internet”. Ils auraient ainsi pu débusquer les serveurs en question, avant d’utiliser un exploit pour effectuer sa moisson. Et ce qui est tout aussi inquiétant que l’attaque en elle-même, c’est que la vulnérabilité exploitée par le ou les pirates serait déjà connue depuis l’année dernière, mais que la majorité (environ deux tiers) n’auraient pas pris la peine de patcher cette faille béante dans leur système, d’après la société Bad Packets.
Une porte grande ouverte sur des données sensibles
Ce qui rend cette attaque inquiétante, c’est en premier lieu le circuit de diffusion de cette liste très sensible puisque toujours selon ZDnet, elle aurait été mise à disposition en téléchargement gratuit sur un grand forum bien connu de la communauté des ransomwares, ces logiciels qui prennent un système informatique en otage. Concrètement, cela signifie que des pirates chevronnés vont certainement (et c’est même certainement déjà le cas) se jeter sur les entreprises référencées dans ce fichier. Pour les groupe concernés, il y a donc urgence à mettre à jour son VPN Pulse Secure pour passer à l’une des dernières version, où la vulnérabilité en question a déjà été patchée.
Dans le cas contraire, ils constituent une cible de choix puisque cette liste a offert leurs identifiants aux pirates sur un plateau. Or, des VPNs d’entreprise comme ceux que propose Pulse Secure sont souvent utilisés comme passerelle pour permettre aux employés d’accéder à leur intranet depuis le WAN… et du même coup à des données potentiellement très sensibles. Pulse Secure a en tout cas pris les devants; d’après Channel News, Pulse Secure aurait contacté individuellement tous les clients concernés par e-mail, téléphone et notifications en ligne pour les exhorter à installer le correctif. Il sera donc intéressant de garder un œil sur cette affaire pour voir si certains retardataires se feront cueillir à froid par les pirates à cause de cette fameuse liste.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.