Une enquête en cours chez TeamViewer, leader mondial du contrôle à distance, fait du bruit dans les médias. Alors que l’entreprise parle prudemment d’une « irrégularité » dans ses systèmes, les experts en cybersécurité évoquent une possible compromission sérieuse. Les utilisateurs sont avertis, bien que l’intégrité des données clients semble pour l’instant préservée.
Mise à jour du 1er juillet 2024 : il s’agit bien d’un piratage, mais qui ne concerne que l’interne
Voici les nouvelles publiées par l’équipe de TeamViewer sur son site officiel :
Mise à jour de sécurité – 30 juin 2024, 18:10 PM CEST
Au fur et à mesure que l’enquête progresse, nous confirmons que l’attaque a été contenue dans notre environnement informatique interne. Plus important encore, notre évaluation confirme à nouveau que l’attaque n’a pas touché notre environnement de produits séparés, ni la plateforme de connectivité TeamViewer, ni aucune donnée client. Selon les conclusions actuelles, l’auteur de la menace a utilisé un compte d’employé compromis pour copier les données de l’annuaire des employés, c’est-à-dire les noms, les informations de contact de l’entreprise et les mots de passe cryptés des employés pour notre environnement informatique interne de l’entreprise. Nous avons informé nos employés et les autorités compétentes.
Le risque associé aux mots de passe cryptés contenus dans l’annuaire a été atténué en collaboration avec des experts de premier plan de notre partenaire de réponse aux incidents, Microsoft. Nous avons renforcé au maximum les procédures d’authentification de nos employés et mis en place d’autres couches de protection solides. En outre, nous avons commencé à reconstruire l’environnement informatique interne de l’entreprise pour qu’il soit totalement fiable.
Article d’origine du 28 juin 2024 : TeamViewer aurait-il subi un piratage par le biais d’un de ses employés ?
L’entreprise allemande très populaire dans le domaine du contrôle à distance, comptant 2,5 milliards d’installations mondiales en 2023, est au centre d’une controverse depuis le 26 juin 2024. L’entreprise a publié un communiqué le 26/06, alimentant les spéculations et les inquiétudes au sein de la communauté de la cybersécurité, puis a posté une mise à jour sur la situation, dont voici la traduction en français :
Mise à jour de sécurité – 28 juin 2024, 12:10pm CEST
Un groupe de travail complet composé de l’équipe de sécurité de TeamViewer et d’experts en cybersécurité de renommée mondiale a travaillé 24 heures sur 24 et 7 jours sur 7 pour enquêter sur l’incident avec tous les moyens disponibles. Nous sommes en échange constant avec d’autres fournisseurs de renseignements sur les menaces et les autorités compétentes afin d’éclairer l’enquête.
Les conclusions actuelles de l’enquête font état d’une attaque survenue le mercredi 26 juin, liée aux informations d’identification d’un compte d’employé standard au sein de notre environnement informatique d’entreprise. Sur la base d’une surveillance continue de la sécurité, nos équipes ont identifié un comportement suspect de ce compte et ont immédiatement mis en place des mesures de réponse à l’incident. En collaboration avec notre support externe de réponse aux incidents, nous attribuons actuellement cette activité à l’acteur de la menace connu sous le nom d’APT29 / Midnight Blizzard. Selon les conclusions actuelles de l’enquête, l’attaque a été contenue dans l’environnement informatique de l’entreprise et il n’y a aucune preuve que l’acteur de la menace ait eu accès à l’environnement de nos produits ou aux données de nos clients.
Conformément aux meilleures pratiques en matière d’architecture, nous avons mis en place une forte séparation entre l’informatique d’entreprise, l’environnement de production et la plateforme de connectivité TeamViewer. Cela signifie que nous gardons tous les serveurs, réseaux et comptes strictement séparés pour aider à prévenir les accès non autorisés et les mouvements latéraux entre les différents environnements. Cette séparation est l’une des multiples couches de protection de notre approche de « défense en profondeur ».
La sécurité est de la plus haute importance pour nous, elle est profondément ancrée dans notre ADN. C’est pourquoi nous nous engageons à communiquer de manière transparente avec les parties prenantes. Nous continuerons à mettre à jour l’état d’avancement de nos enquêtes dans notre Trust Center au fur et à mesure que de nouvelles informations seront disponibles. Nous prévoyons de publier la prochaine mise à jour d’ici la fin de la journée (CEST).
Publié sur le site de TeamViewer.com le 28/06
Déclaration – 27 juin 2024
Le mercredi 26 juin 2024, notre équipe de sécurité a détecté une irrégularité dans l’environnement informatique interne de TeamViewer. Nous avons immédiatement activé notre équipe et nos procédures d’intervention, entamé des investigations avec une équipe d’experts en cybersécurité de renommée mondiale et mis en œuvre les mesures correctives nécessaires.
L’environnement informatique interne de TeamViewer est totalement indépendant de l’environnement du produit. Rien n’indique que l’environnement du produit ou les données des clients aient été affectés. Les investigations sont en cours et notre objectif principal reste de garantir l’intégrité de nos systèmes.
La sécurité est de la plus haute importance pour nous, elle est profondément ancrée dans notre ADN. C’est pourquoi nous privilégions une communication transparente et nous mettrons continuellement à jour l’état d’avancement de nos investigations dès que de nouvelles informations seront disponibles.
Publié sur le site de TeamViewer.com le 27/06
Face à cette situation délicate, TeamViewer tente de rassurer ses clients en affirmant que les données des utilisateurs ne sont pas compromises. Pourtant, les experts restent sceptiques devant la prudence excessive de l’entreprise, préférant parler d' »irrégularité » plutôt que de reconnaître une cyberattaque potentielle.
Les experts alertent sur une cyberattaque possible
Malgré la communication mesurée de TeamViewer, des spécialistes en cybersécurité actifs sur le réseau social Mastodon évoqueraient une « compromission importante ». Cette révélation soulève des inquiétudes quant à une possible opération d’espionnage à grande échelle, dont les rumeurs feraient état de l’implication d’un groupe lié aux services de renseignement russes.
En réponse à cette menace potentielle, les recommandations se multiplient : surveillance poussée des journaux, activation de l’authentification à deux facteurs et utilisation de listes de contrôle d’accès. Les utilisateurs de TeamViewer sont exhortés à rester vigilants en attendant les conclusions de l’enquête en cours.
Cette situation délicate met à l’épreuve la réputation et la communication de TeamViewer pour maintenir la confiance de ses 600 000 clients à travers le monde.
Source : https://www.teamviewer.com/en/resources/trust-center/statement/