Des entreprises belges piratées via une ancienne brèche Citrix

© Getty Images
Pieterjan Van Leemputten

Un certain nombre d’entreprises belges ont reçu la visite de pirates qui ont exploité un bug Citrix découvert en début d’année. Leurs logiciels ont été corrigés, mais il subsiste des portes dérobées.

La firme de sécurité néerlandaise Fox-IT a constaté après avoir mené sa propre enquête qu’au niveau mondial, une porte dérobée est incorporée à l’infrastructure de 3.332 organisations, dont 32 serveurs belges.

Il s’agit d’entreprises utilisant des logiciels de Citrix, en l’occurrence l’Application Delivery Controller et le Citrix Gateway. C’est là que fin de l’année dernière un bug avait été découvert, mais il fallut à Citrix quelques semaines avant de sortir un correctif (patch). Durant ce laps de temps, des hackers avaient réussi leur coup. Mais les entreprises qui avaient été piratées à l’époque – souvent à leur insu -, sont aujourd’hui encore et toujours accessibles à des pirates, selon Fox-IT, et ce, même si elles ont entre-temps installé la mise à jour de Citrix.

“Les entreprises, qui n’ont pas encore installe le patch, sont de toute façon vulnérables. Mais nous avons aussi découvert qu’il y en a pour lesquelles des hackers ont mis en place des portes dérobées sur les appareils Citrix”, explique Frank Groenewegen, Chief Security Expert chez Fox-IT, à Data News. “Et donc ces firmes continuent d’être piratées, même si elles ont entre-temps installé le patch et qu’elles pensent ainsi être sécurisées.”

CCB

Pour des raisons de sécurité, Fox-IT ne souhaite pas révéler les noms des entreprises concernées, tout en ajoutant qu’elle ne va pas non plus prendre contact avec elles. “Nous partagerons ces infos avec les CERT nationaux, lesquelles pourront alors prévenir les firmes touchées dans leur pays”, ajoute Groenewegen à Data News.

“Il est question de plus de 3.300 entreprises. Comme nous ne pouvons pas les approcher toutes, nous recourons donc à la voie officielle”, précise Groenewegen. Pour la Belgique, c’est via le CCB (Centre pour la Cyber-sécurité Belgique), dont dépend CERT.be, qui a reçu l’information mardi dernier via une mailing list internationale.

Initialement, il y eut à ce propos une confusion. Dans un premier temps, le CCB n’était pas du tout au courant, ce qui fait qu’il prit lui-même contact avec Fox-IT. Ensuite, après la publication d’une première version de cet article, il apparut qu’il s’agissait d’un malentendu. Le CCB indiqua alors que Fox-IT avait bien partagé les adresses IP et les autres renseignements d’identification par le biais d’une mailing list internationale, puis il en fut informé personnellement par Fox-IT même. Le CCB prend la chose très au sérieux et va contacte les entreprises concernées. Selon le centre, il est question d’une trentaine de firmes.

‘Honeypot’

Comment Fox-IT sait-elle quelles entreprises – ou plus précisément quelles adresses IP – sont vulnérables? La firme a en fait découvert le problème à l’aide de ce qu’on appelle un ‘honeypot’ (pot de miel). Il s’agit là d’un système professionnel contrefait qui laisse expressément ouvertes des brèches dans l’espoir que des pirates les exploitent. De cette façon, Fox-IT peut examiner la manière dont les criminels agissent. “En complément bien entendu d’une enquête personnelle et de pratiques que nous décelons nous-mêmes chez des clients. Voilà qui nous permet d’identifier les portes dérobées”, poursuit Groenewegen.

“Via ce ‘honeypot’, nous apprenons à connaître les modèles utilisés par les hackers et la façon dont ils exploitent les portes dérobées. Dans le cas présent, certaines portes étaient ouvertes sur l’infrastructure touchée”, complète Alexander Thomaere, country manager BeLux chez Fox-IT. Ensuite, la firme scanne divers serveurs accessibles publiquement, pour y rechercher la présence d’une porte dérobée. Et de faire observer que seules les portes dérobées qu’elle avait elle-même pu identifier, étaient reconnues via le ‘honeypot’. Il se peut donc qu’il y ait encore d’autres activités mal intentionnées.

La moitié non corrigée

Ajoutons, et cela est loin d’être anodin, que seuls 52 pour cent des infrastructures Citrix sont aujourd’hui corrigés, selon Fox-IT. Cela signifie que des hackers peuvent en principe continuer d’exploiter le même truc sur 48 pour cent des autres serveurs.

Le problème principal, c’est qu’il est malaisé pour les entreprises de savoir si un pirate est parvenu à s’introduire dans leur infrastructure. “Citrix a elle-même mis à disposition un outil de scannage permettant de le savoir. Mais pour ce faire, on a aussi besoin des fichiers journaux remontant jusqu’en janvier.” Une autre option consiste en un examen forensique approfondi pour voir s’il y a eu intrusion et quelles données ont été dérobées. Mais comme susmentionné, le CCB connaît dans le cas présent désormais les adresses IP touchées et prendra lui-même contact avec les organisations en question.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire