Cyberattaque AnyDesk : des pirates ont compromis les serveurs de production !
Grosse alerte du côté de la solution de prise en main à distance AnyDesk ! Des pirates sont parvenus à obtenir un accès à l'infrastructure de production d'AnyDesk, ce qui leur a permis de voler le code source et les certificats de signature du code au cours de l'attaque. Faisons le point !
Pour rappel, AnyDesk est une solution de prise en main à distance populaire, et il s'agit d'une alternative à une autre solution encore plus populaire : TeamViewer. Même si AnyDesk peut être utilisé par les particuliers, c'est une solution appréciée par les entreprises notamment pour les équipes du support informatique. Cela signifie qu'AnyDesk peut être installé sur les postes de travail des utilisateurs, mais aussi, sur des serveurs.
"À la suite d'indications d'un incident sur certains de nos systèmes, nous avons effectué un audit de sécurité et trouvé des preuves de la compromission des systèmes de production.", voici la première phrase du communiqué officiel d'AnyDesk. Même si ce n'est pas précisé, cette intrusion doit remonter à la fin du mois de janvier, aux alentours du 29 janvier 2024 : il y a eu une panne à partir de cette date (comme l'évoque cet article).
Une fois que l'intrusion a été détectée, AnyDesk a activé son plan de réponse à incident et l'éditeur allemand s'est appuyé sur les services de la société CrowdStrike. Après une première analyse de la situation, AnyDesk a pris la décision de révoquer plusieurs certificats et restauré les systèmes impactés.
AnyDesk tient à rassurer ses clients et ses utilisateurs, en affirmant que la situation est sous contrôle. Le site BleepingComputer est parvenu à obtenir des renseignements supplémentaires auprès d'AnyDesk : "AnyDesk est conçu de manière à ce que les jetons d'authentification de session ne puissent pas être volés. Ils n'existent que sur l'appareil de l'utilisateur final et sont associés à l'empreinte digitale de l'appareil. Ces jetons n'entrent jamais en contact avec nos systèmes." - Toujours d'après AnyDesk, il n'est pas possible de détourner une session.
Les actions à effectuer, si vous utilisez AnyDesk
La dernière version d'AnyDesk, à savoir la version 8.0.8 (pour Windows), a été signée avec un nouveau certificat de signature de code puisque l'ancien a été révoqué. C'est un signe qui ne trompe pas : ceci a été fait par précaution puisque le certificat actuel a été volé. D'ailleurs, c'est la seule "nouveauté" apportée par cette version.
Si vous utilisez AnyDesk, vous devez vous assurer d'utiliser la dernière version (ou une version ultérieure, par la suite).
En complément, et même si AnyDesk affirme que les mots de passe n'ont pas été volés lors de la cyberattaque, il est fortement conseillé de changer les mots de passe de vos accès AnyDesk, et éventuellement sur les autres sites où vous pourriez utiliser le même mot de passe.
Dernièrement, nous avons appris que des accès TeamViewer avaient été compromis par des cybercriminels : cela prouve que les solutions de prises en main à distance sont prisées par les pirates.
Bonjour,
En ce moment, les groupes d’attaquants aiment bien s’en prendre au outil de prise en main à distance et pour cause 🙂