Diverses entreprises, y compris en Belgique, utilisent un service de billetterie interne qui est accessible à des personnes externes en cas de piètre configuration. Voilà qui facilite la vie des escrocs qui se livrent à des requêtes mal intentionnées ou qui veulent mettre la main sur les adresses mail de collaborateurs.
Il s’agit en l’occurrence de Jira Service Desk d’Atlassian. L’outil en tant que tel tient techniquement la route, mais beaucoup d’entreprises l’ont mal configuré, ce qui fait que des personnes extérieures peuvent aussi créer un compte, comme prévient Inti De Ceukelaire, pirate éthique et Head of Hackers chez Intigriti.
Dans un communiqué très détaillé posté sur son blog, il en explique le fonctionnement. Jira Service Desk d’Atlassian est un outil en ligne avec lequel les entreprises peuvent traiter les requêtes des clients/utilisateurs. Mais il peut également être utilisé pour aider les collaborateurs avec des requêtes en matière RH, IT, finance, bref tous les types de demande auxquels doit faire face un employé en interne.
Pas un piratage, mais une erreur
Cet outil est généralement accessible via ‘nomd’entreprise.atlassian.net’ pour lequel un login s’avère nécessaire. Mais De Ceukelaire a découvert que dans de nombreux cas, il est possible pour quelqu’un en externe de créer un compte via ‘yourcompanyname.atlassian.net/servicedesk/customer/user/login’, avant de générer un ticket interne.
“C’est d’autant plus dangereux que c’est si facile. Vous n’avez pas besoin d’une connaissance technique spéciale ou de compétences de piratage. Tout le monde peut tenter sa chance”, explique De Ceukelaire à Data News.
C’est ce qui complique aussi le fait de rendre la chose publique. Il a lui-même pris contact avec plusieurs entreprises, mais le faire avec chaque entreprise au niveau mondial est infaisable. En documentant publiquement la pratique, il espère que les entreprises réagiront assez rapidement.
De Ceukelaire ne veut pas reprocher une piètre protection ni à Jira Service Desk, ni aux entreprises, parce qu’il s’agit d’une erreur que l’on peut commettre facilement. “Nombre d’entreprises pensent être bien protégées, car c’est refoulé dans leurs paramètres et à première vue, il ne semble pas qu’un utilisateur externe puisse entrer. Il est donc compréhensible que des erreurs soient commises. J’ai moi-même vu des entreprises très bien sécurisées sur le plan technique, mais une fois à l’intérieur, il est possible d’y faire beaucoup de choses. Tout un chacun peut être vulnérable.”
Il y a aussi un risque à long terme. “On peut comprendre que certaines entreprises aient rapidement déployé des outils en cette période de crise corona et n’aient peut-être pas lu toute la documentation. Mais je crains que ces outils ne soient pas supprimés après la crise. Il convient alors de se demander s’ils sont vraiment sûrs.”
Des entreprises belges aussi
De Ceukelaire a testé en tout dix mille noms de domaine populaires et a observé que 1.972 utilisaient Atlassian. 288 d’entre eux étaient ouverts au public, alors que tel n’était pas le but. Il a observé aussi une hausse depuis l’instauration du télétravail massif. Le premier test avait été effectué l’été dernier, mais actuellement, 12 pour cent de service desks en plus sont accessibles.
Peut-être est-ce dû au fait que des entreprises aient mis en ligne rapidement des outils et les ont mal configurés. Il peut s’agir aussi d’entreprises utilisant précédemment déjà Jira Service Desk en tant qu’outil pour leur service à la clientèle, avant d’y avoir recours aussi comme outil interne, sans le sécuriser suffisamment.
Parmi les 288 entreprises, il y avait aussi une dizaine de firmes belges et ce, même si le nombre réel est probablement nettement plus élevé, étant donné qu’il s’agissait d’un vaste échantillonnage.
Vol d’adresses mail d’une base de données et facilité d’escroquerie
Ce qu’une personne mal intentionnée peut faire avec ce genre de compte, peut varier énormément. C’est ainsi que De Ceukelaire a pu aboutir dans l’un des trois service desks examinés de plus près aux noms et adresses mail d’employés, parce qu’il était possible de créer un ticket au nom d’un autre collaborateur.
Dans un cas, un service desk lui a aussi permis de saisir du code. Il était ainsi impossible de maîtriser toute une base de données. De Ceukelaire l’a signalé à l’entreprise concernée et a même reçu une récompense de dix mille dollars pour avoir mentionné judicieusement la fuite de données.
Mais dans la pratique, cela simplifie aussi nettement l’escroquerie. Les employés sont souvent formés pour reconnaître un mail d’hameçonnage (phishing). Mais si un escroc utilise le nom d’un autre employé existant et sollicite par exemple un remboursement, une réinitialisation d’un mot de passe ou d’un compte bloqué, les demandes seront probablement acceptées plus rapidement, parce qu’elles proviennent d’un canal interne.
“Ce n’est pas toujours évident pour un collaborateur du service desk de se rendre compte si une requête est bien légitime. Il faut parfois cliquer plus avant ou passer sur le nom avec la souris pour savoir si la requête provient d’une autre adresse mail. C’est compliqué surtout dans une entreprise occupant des milliers de personnes ou où l’on ne peut pas effectuer rapidement une vérification physique auprès du collègue” précise De Ceukelaire.
Contrôle des paramètres
A l’entendre, De Ceukelaire a collaboré ces dernières semaines avec 25 entreprises en vue de sécuriser leur outil de billetterie vis-à-vis du public. Une entreprise au moins a déclaré avoir également observé d’autres comptes étranges. La technique est donc actuellement appliquée par de possibles escrocs.
Quiconque utilise l’outil Jira Service Desk, a donc tout intérêt à contrôler s’il est possible pour un utilisateur externe de créer un compte. C’est possible via ‘https://yourcompanyname.atlassian.net/servicedesk/customer/user/login‘ (yourcompanyname doit être remplacé par le nom de votre entreprise). Si le service desk est ouvert, il convient d’adapter les paramètres de l’outil. Jira fournit aussi de la documentation complémentaire sur le sujet.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici