Protection du poste de travail : vol et mise en vente de code source de trois éditeurs
Des pirates de haute volée chercheraient à vendre le code en question pour plus 300 000 $ avec, en prime, l’accès aux systèmes d’information des victimes. Les noms de celles-ci ne sont pas encore connus.
C’était en mai 2016. Les chercheurs du projet Zéro de Google, spécialisés dans la recherche de vulnérabilités inédites, en rendaient publiques plusieurs, affectant le moteur d’analyse antivirus utilisé dans les produits Symantec et Norton. A l’époque, Tavis Ormandy, l’un des membres de l’équipe, expliquait que l’une d’entre elles s’avérait « aussi grave qu’il est possible de l’être », en particulier parce que « Symantec utilise un pilote de filtrage pour intercepter toutes les entrées/sorties du système ».
S’il le fallait, cette découverte illustrait la criticité de la sécurité des outils de protection des postes de travail et des serveurs (EPP), compte tenu de leurs fonctions et des accès dont ils ont besoin pour les assurer. Cette criticité a également été invoquée, plus récemment, dans le cadre de l’imbroglio politico-sécuritaire dans lequel s’est trouvé embarqué Kaspersky à son corps défendant. D’une certaine manière, il est difficile de trouver mieux comme cible pour des attaques sur la chaîne logistique par rebond.
Mais voilà, selon AdvIntel, un groupe de pirates de haut niveau, Fxmsp, revendique, depuis le mois de mars, l’accès à des informations volées à trois éditeurs d’EPP majeurs installés aux Etats-Unis : « ils ont confirmé disposer de code source exclusif lié au développement logiciel chez ces éditeurs. Ils proposent de le vendre, ainsi que des accès réseau, pour plus de 300 000 $ ».
Pour AdvIntel, la revendication est crédible. Le groupe aurait ainsi un historique vérifiable de vente de données compromises lui ayant rapporté près de 1 M$, depuis le début de ses activités, en 2017. Fxmsp n’est d’ailleurs pas inconnu des équipes de FireEye non plus.
Pour ses opérations, le groupe Fxmsp aurait développé un botnet dédié au vol d’identifiants à grande échelle sur ces cibles multiples, au-delà d’opérations traditionnelles plus ciblées, visant les services RDP exposés en ligne et les serveurs d’annuaire Active Directory.
A ce jour, les trois éditeurs concernés restent inconnus. Mais pourront-ils le rester longtemps ? De telles brèches sont susceptibles d’inquiéter les investisseurs et il y a fort à parier que les éditeurs cotés seront amenés à reconnaître l’incident dans leurs communications au gendarme des marchés boursiers américains, la SEC.