Artur Marciniec - Fotolia
Les outils de prise en main à distance, nouvel eldorado des pirates ?
Après ceux de TeamViewer, des utilisateurs de LogMeIn sont la cible de cybercriminels. Ceux de GoToMyPC pourraient le sont également.
Dans un billet de blog, Attila Torok, directeur de LogMeIn en charge de la sécurité alerte les utilisateurs du service : « nous avons commencé à réinitialiser les mots de passe de certains utilisateurs ». Pourquoi ? Parce que « les identifiants de ces utilisateurs étaient sur une liste qui tourne sur le Web – des identifiants issus d’importantes brèches dans des entreprises telles que LinkedIn, Tumblr et MySpace ».
Ce n’est pas une première. Depuis quelques semaines, de nombreux utilisateurs de TeamViewer font état d’attaques sur leurs ordinateurs. Dans leurs témoignages, ils font état de prises de contrôle à distance – parfois détectées en direct, le curseur de la souris se déplaçant sous leurs yeux à leur insu –, mais également d’utilisations frauduleuses de compte PayPal, avec des pertes se comptant parfois en centaines, voire milliers, de dollars. Certains indiquent même avoir été attaqués à plusieurs reprises.
TeamViewer met en cause l’utilisation « sans précaution » d’identifiants identiques « sur plusieurs comptes de services en ligne ». Mais cela n’a pas empêché de prendre rapidement des mesures pour protéger ses utilisateurs, à commencer par la mise en place d’un système de détection d’anomalies dans leurs activités.
Dans son billet, Attila Torok fait référence aux mêmes pratiques, en recommandant – « que votre compte ait été affecté ou pas » – de ne pas utiliser le même mot de passe « avec plusieurs services en ligne, applications et sites Web ». Et d’encourager l’utilisation d’un gestionnaire de mots de passe et celle de l’authentification à double facteur.
Les utilisateurs de GoToMyPC semblent également visés par des cybercriminels. Dans un billet, l’éditeur du service annonce ainsi la réinitialisation immédiate des mots de passe de tous ses clients et encourage, lui-aussi, l’activation de l’authentification à double facteur. Mais ses recommandations font l’impasse sur la réutilisation de mots de passe entre services en ligne, comme le souligne amèrement Graham Cluley, dans un billet de blog. Et de relever en outre que GoToMyPC laisse planer le mystère sur ce qui motive réellement cette réinitialisation : il indique que « le service a été visé par une attaque sur les mots de passe très sophistiquée » sans entrer dans les détails. Alors a-t-il lui-même été victime d’une brèche ou bien son n’est-il visé que comme le sont ceux de TeamViewer et de LogMeIn ?
Quoiqu’il en soit, s’attaquer à ces services a de quoi séduire plus d’un cybercriminel : pas besoin de s’embêter à compromettre l’ordinateur personnel de sa cible avec un cheval de Troie ; l’outil de prise de contrôle à distance est déjà là, prêt à être détourné…
Au final, on serait tenté d’ajouter de recommander – pour chacune de ses adresses e-mail utilisées en ligne – qu’aucun de ses comptes ne figure parmi tous ceux qui ont été compromis plus ou moins récemment, sur LeakedSource ou Have I Been Pwned pour ensuite changer un par un les mots de passe de comptes utilisant la même adresse e-mail… Un exercice fastidieux, mais qui apparaît de plus en plus indispensable. Mais pour certains, il faut aller plus loin et l’heure de la grande réinitialisation (de mots de passe) a sonné.
Une récente étude d’Akamai semble d’ailleurs plaider en ce sens. Des campagnes de détournement de comptes utilisateurs auraient visé deux de ses clients en février dernier, des opérations d’une ampleur considérablement plus importante que « toutes les autres attaques du même type jusqu’ici ». La première, visant une entreprise du secteur des services financiers, a mobilisé rien moins que près d’un million d’adresses IP distinctes et porté sur près de 430 millions de comptes utilisateurs. La seconde, dans le secteur du divertissement, s’est appuyée sur un total de près de 1,3 million d’adresses IP différentes, pour procéder à près de 800 millions de tentatives d’authentification et plus de 220 millions de vérifications d’adresses e-mail. Des routeurs domestiques signés Arris et ZyXel ont été utilisés à l’insu de leurs propriétaires pour conduire ces opérations.