Afrikadigital 6 Fevier 2023 : Grave intrusion dans les serveurs de production d’AnyDesk : vol de code source et de certificats de signature
Une alerte majeure a été émise concernant la solution de prise en main à distance AnyDesk. Des pirates ont réussi à accéder à l’infrastructure de production d’AnyDesk, leur permettant ainsi de voler le code source et les certificats de signature du code lors de cette attaque. Voici un récapitulatif de la situation.
AnyDesk, une alternative populaire à TeamViewer, est une solution largement utilisée pour la prise en main à distance, aussi bien par les particuliers que par les entreprises, notamment pour les équipes du support informatique. Elle peut être installée à la fois sur les postes de travail des utilisateurs et sur des serveurs.
Dans un communiqué officiel, AnyDesk a déclaré : « Suite à des indications d’un incident affectant certains de nos systèmes, nous avons effectué un audit de sécurité qui a révélé une compromission de nos systèmes de production. » Bien que la date précise de cette intrusion ne soit pas mentionnée, elle est estimée aux alentours du 29 janvier 2024, date à laquelle une panne a été constatée (comme le mentionne cet article).
Une fois l’intrusion détectée, AnyDesk a activé son plan de réponse à l’incident et s’est appuyé sur les services de la société CrowdStrike. Après une première analyse, plusieurs certificats ont été révoqués et les systèmes impactés ont été restaurés.
AnyDesk tient à rassurer ses clients et utilisateurs en affirmant que la situation est désormais sous contrôle. Des informations supplémentaires ont été obtenues auprès d’AnyDesk par le site BleepingComputer, mentionnant que « AnyDesk est conçu de manière à ce que les jetons d’authentification de session ne puissent pas être volés. Ils n’existent que sur l’appareil de l’utilisateur final et sont associés à l’empreinte digitale de l’appareil. Ces jetons n’entrent jamais en contact avec nos systèmes. » Selon AnyDesk, il n’est donc pas possible de détourner une session.
Mesures à prendre si vous utilisez AnyDesk
La dernière version d’AnyDesk, la version 8.0.8 pour Windows, a été signée avec un nouveau certificat de signature de code suite à la révocation de l’ancien. Cette mise à jour préventive est un indicateur important.
Si vous utilisez AnyDesk, il est crucial de vérifier que vous utilisez la dernière version (ou une version ultérieure par la suite).
En complément, bien qu’AnyDesk affirme que les mots de passe n’ont pas été volés lors de la cyberattaque, il est fortement recommandé de changer les mots de passe pour tous les accès à AnyDesk, et éventuellement pour les autres sites où le même mot de passe est utilisé.
Il est intéressant de noter que récemment, des accès de TeamViewer ont également été compromis par des cybercriminels, soulignant ainsi l’attrait des pirates pour les solutions de prise en main à distance.
Reddy Mavambu