ink drop - stock.adobe.com

Ubisoft : forts soupçons d’intrusion

L’éditeur a confirmé la survenue d’un incident de cybersécurité et engagé une réinitialisation généralisée des mots de passe de ses collaborateurs. Le groupe Lapsus$ suggère qu’il pourrait être à l’origine d’une attaque.

Dans un communiqué de presse daté du 10 mars, Ubisoft a indiqué avoir « rencontré un incident de cybersécurité », la semaine précédente. Celui-ci aurait provoqué « des perturbations temporaires pour certains de nos jeux, systèmes et services ». L’éditeur précise qu’une réinitialisation généralisée des mots de passe a été engagée.

Le renouvellement global de mots de passe est plus courant dans les environnements Windows que les autres. En décembre 2020, Benjamin Delpy, créateur de Mimikatz, expliquait qu’une telle démarche « peut être prise par précaution, lors d’une suspicion de compromission de comptes à privilèges », susceptible d’avoir conduit, ou de conduire, à la compromission d’un contrôleur de domaine.

Concrètement, dans le meilleur des cas, ce qui peut conduire à une telle décision, c’est l’observation d’un déplacement latéral, « ou même, la connaissance de la compromission d’un mot de passe à privilège, ou de l’accès à un hôte avec un compte à privilège déjà connecté ». Car les données de persistance de l’authentification sont alors stockées en mémoire vive et peuvent y être collectées avec un outil tel que Mimikatz, à l’instar d’un jeton Kerberos ou d’un condensat – ou hash – NTLM. 

À tout le moins, une telle mesure trahit « de très forts soupçons sur la compromission de compte à privilège » qui pourrait conduire à celle d’un contrôleur de domaine. Mais « de manière générale, une réinitialisation généralisée des mots de passe Active Directory trahit une compromission de cette infrastructure ».

En décembre 2019, l’université Justus-Liebig, à Gießen, avait enclenché une telle procédure, allant même jusqu’à redistribuer manuellement, sur papier, les mots de passe des comptes de ses 38 000 utilisateurs, étudiants, enseignants, chercheurs et personnels administratifs. À l’époque, pour autant, aucun chiffrement de données ni nom de maliciel n’avait encore été évoqué.

Un an plus tard, Air France-KLM lançait lui aussi une telle opération, ses équipes informatiques évoquant, en interne, « un risque élevé de cyberattaque ».

Le groupe Lapsus$ a réagi rapidement à la déclaration d’Ubisoft, partageant l’article de nos confrères de The Verge sur son groupe Telegram, assorti d’un smiley en forme de sourire en coin. Le groupe Lapsus$ a récemment revendiqué une attaque assortie de vol de données contre Nvidia. Ce dernier a confirmé certaines des allégations.

À l’automne 2020, les opérateurs de la franchise de ransomware Egregor avaient déjà revendiqué une cyberattaque contre Ubisoft. Ils assuraient alors avoir mis la main sur du code source relatif à Watch Dogs Legion.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)