Citrix se déclare à son tour victime d’une intrusion
L’éditeur a été informé de l’incident par le FBI. A ce stade, il estime que les cyberattaquants ont pu avoir accès à des documents commerciaux. Mais c’est bien sûr la question de la sécurité de ses produits et services qui préoccupe.
Citrix se veut rassurant : « à ce stade, rien n’indique que la sécurité d’un produit ou service Citrix a pu être compromise ». C’est ce qu’indique l’éditeur dans un billet de blog publié ce vendredi 8 mars. Il y révèle également que son système d’information a été la cible d’attaquants ayant réussi à s’infiltrer. C’est le FBI qui lui a mis la puce à l’oreille, le contactant deux jours plus tôt.
L’enquête immédiatement engagée a déjà permis à Citrix de déterminer que les documents commerciaux « pourraient » avoir été consultés et téléchargés. Elle n’a en revanche pas permis de déterminer le vecteur de compromission initiale, même si le FBI penche pour la découverte de mots de passe peu robustes. Une fois dans la place, les attaquants « ont travaillé à contourner des couches de sécurité additionnelles ».
L’une des questions sur lesquelles Citrix est très attendu touche au temps dont les attaquants ont pu profiter pour fureter dans son système d’information. Pour le moment, l’éditeur ne dit rien à ce sujet. Mais un indicateur peut faire froid dans le dos : selon l’édition 2019 du rapport M-Trends de FireEye/Mandiant, le temps de séjour médian des attaquants dans une infrastructure dont la compromission est découverte par un tiers était de… 137 jours, en Amérique du Nord, l’an dernier.
Et c’est sans compter avec le risque de la présence de plusieurs groupes malicieux dans le système d’information de l’éditeur. Un risque non négligeable si l’on en croit Wendi Whitmore, responsable d’IBM X-Force Incident Response and Intelligent Services. La semaine dernière, lors de RSA Conference, à San Francisco, elle soulignait ainsi qu’il « est assez courant aujourd’hui d’intervenir pour une organisation où l’on verra trois ou quatre acteurs d’états-nations présents ».
Surtout, comme le relève Gérôme Billois, responsable de la « practice cybersécurité » de Wavestone, les attaquants ont-ils eu accès « aux codes sources ou aux systèmes de développement » ? Ce serait grave, mais pas inédit. RSA en sait quelque chose : fin mars 2011, l’éditeur reconnaissait, dans une lettre à ses clients, qu’une attaque informatique avait permis d’exfiltrer des informations liées à SecurID, une solution d’authentification forte par jeton. Quelques mois plus tard, Lockheed Martin révélait qu’il avait été la cible d’une attaque informatique « significative et tenace ». L’histoire veut qu’elle ait été menée à l’aide des clés SecurID d’utilisateurs de son système d’information.
En 2017, deux épisodes ont impliqué la chaîne logistique du logiciel : CCleaner et NotPetya. Dans les deux cas, la menace est passée par la chaîne logistique du logiciel. Le premier a affecté près de 2,3 millions d’utilisateurs à travers le monde. Et selon les dernières découvertes d’Avast, le déploiement d’un logiciel enregistreur de saisies au clavier était prévu par les attaquants. Mais il n’a pas eu lieu. Plus récemment, l’affaire Dofoil/MediaGet a de nouveau souligné l’importance du sujet et la réalité de la menace. Le sujet a d’ailleurs été ouvertement évoqué lors du Forum International de la Cybersécurité, à Lille, en janvier dernier.
Citrix assure équiper plus de 400 000 organisations, dont 99 % de celles figurant au classement Fortune 100, et 98 % du Fortune 500. Des entreprises certainement à même d’intéresser un large éventail d’attaquants aux motivations très variées.
Selon Resecurity, Citrix aurait été la cible d’un groupe lié à l’Iran. L’entreprise indique avoir cherché à alerter l’éditeur dès le 28 décembre dernier. Les attaquants auraient exfiltré au moins 6 To de données. Par prudence, on relèvera que ReSecurity apparaît assez peu connue, et tout récemment créée par des personnes pour le moins particulièrement discrètes quant à leur parcours et leurs références. Le groupe d'attaquants qu'elle évoque est ici mentionné pour la première fois sous le nom d'Iridium.
Dans une interview à NBC News, Charles Yoo, qui se présente comme le président de Resecurity, assure qu’une première attaque a eu lieu durant les fêtes de fin d’année, suivie d’une seconde lundi dernier. Et l’on relèvera que, sur cette période, Citrix n’a émis qu’une mise à jour, un correctif pour XenMobile Server 10.9.0.