Photographee.eu - stock.adobe.co

Sous pression, Asus alerte sur l’attaque ayant visé certains de ses clients

Le constructeur vient finalement de sortir de sa réserve, assurant que seul un petit nombre de clients ont été touchés et, désormais, prévenus. Mais il n’a pas révoqué le certificat détourné.

Asus reconnaît et confirme : un détournement de son infrastructure de distribution de mises à jour, via l’outil Asus Live Update, a bien conduit au déploiement de maliciels sur les ordinateurs de certains de ses clients. Mais pour le constructeur, seul un « petit nombre d’appareils » ont été affectés et l’attaque ne visait qu’un « très petit et très spécifique groupe d’utilisateurs ». Pour mémoire, Kaspersky estime que la version vérolée de l’utilitaire d’Asus a été installée sur 57 000 postes protégés par ses outils, contre 13 000 pour Symantec.

La nature hautement ciblée de l’attaque ne fait toutefois aucun doute. Certains nouveaux éléments apportés par Kaspersky le soulignent d’ailleurs un peu plus. Costin Raiu, patron des équipes de recherche de l’éditeur, indique ainsi que, dans certains cas, l’utilitaire de mise à jour altéré vérifie non seulement l’adresse MAC de l’interface réseau filaire, mais également celle de son interface Wi-Fi, pour ne déployer le second niveau de charge utile que lorsque les deux adresses confirment la cible.

Pour autant, ni le nombre exact de téléchargements d’une version altérée de l’utilitaire par les attaquants, ni celui de cibles effectivement touchées, n’est à ce jour connu. Mais Asus en sait peut-être plus, indiquant que son service client a « pris contact avec les utilisateurs affectés » pour les aider à s’assurer que « les risques de sécurité étaient supprimés ».

Le constructeur ne précise toutefois pas quand il commencé à informer ses clients et reste plus généralement silencieux sur la chronologie de sa gestion d’incident, n’évoquant pas même ses échanges de début d’année avec Kaspersky.

En attendant, des échantillons de l’utilitaire altéré compilés la semaine dernière, le 24 mars, ont été trouvés par des chercheurs. En milieu d’après-midi de ce mardi 26 mars, le certificat utilisé pour leur signature n’a toujours pas été révoqué. Et si les moteurs de protection antivirale les détectent désormais correctement, ce n’était pas le cas il y a moins d’un jour.

Pour approfondir sur Menaces, Ransomwares, DDoS