Le spécialiste néerlandais de la sécurité Fox-IT annonce avoir été en septembre la victime d’une attaque appelée ‘man-in-the-middle’. Les dommages sont restés limités, mais l’entreprise en a tiré des leçons.
Fox-IT est l’une des firmes de sécurité les plus éminentes en Europe. On fait généralement appel à elle pour passer au crible des actes de piratage visant des entreprises et des institutions publiques. Dans notre pays, elle est surtout connue pour avoir examiné de très près le piratage chez BICS (une filiale de Proximus).
Fichiers interceptés
Mais le 19 septembre dernier, la firme a été elle-même la victime d’un pirate. Concrètement, ce dernier est parvenu à accéder aux enregistrements DNS chez le bureau d’enregistrement (‘registrar’) externe de Fox-IT. Il a ainsi pu y effectuer des adaptations, de sorte que le trafic entrant chez Fox-IT.com a été dévié vers un serveur de l’agresseur, qui l’a ensuite re-transféré vers Fox-IT. Il s’agit là de ce qu’on appelle une attaque ‘man-in-the-middle’, par laquelle l’agresseur peut se placer entre le visiteur d’un site et son propriétaire en vue d’intercepter du trafic.
C’est ainsi que le hacker a pu visionner pendant 10 heures et 24 minutes ClientPortal, une application web permettant d’échanger de manière sécurisée des fichiers avec Fox-IT. Ce faisant, 12 fichiers (dont 10 uniques) de 9 utilisateurs ont été interceptés. Seuls trois d’entre eux contenaient des infos vraiment confidentielles. Le trafic e-mail de Fox-IT fut également dévié pendant dix minutes. Fox-IT a entre-temps averti les parties concernées et la police. L’enquête est toutefois encore en cours, et le pirate n’a pas encore pu être arrêté.
Piratage vite découvert, mais pas directement interrompu
La firme de sécurité explique dans un communiqué très étoffé posté sur son blog quel a été l’impact du piratage et les leçons qu’elle en a tirées. Et d’insister sur le fait que la plupart des attaques de ce genre ne sont généralement découvertes qu’après des semaines.
Ce qui est étonnant, c’est que Fox-IT n’a pas interrompu directement l’intrusion, mais n’a bloqué dans un premier temps que l’authentification deux facteurs (2FA) par SMS. Il en est résulté que les clients étaient dans l’impossibilité d’encore envoyer des fichiers, mais aussi que le pirate ne s’est pas rendu compte que son intrusion avait été découverte, ce qui fait que Fox-IT a pu en savoir plus sur son mode opératoire.
Il y a cependant eu des faiblesses. C’est ainsi que le mot de passe auprès du bureau d’enregistrement du domaine n’avait plus été modifié depuis trois ans déjà et que le bureau en question n’appliquait pas de contrôle à deux facteurs. L’entreprise reconnaît donc que la situation aurait pu être meilleure.
En résumé, Fox-IT a décelé rapidement le piratage, et les dommages sont restés limités grâce à ses mesures de sécurité. C’est ainsi que le hacker n’a jamais eu accès aux systèmes internes de l’entreprise. Celle-ci saisit du reste l’occasion pour communiquer de manière plus transparente sur l’incident et pour démontrer l’importance d’éléments tels l’authentification deux facteurs pour la gestion du domaine qu’elle avait elle-même omis dans un premier temps.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici