AnyDesk piraté : un logiciel de bureau à distance populaire exige la réinitialisation du mot de passe
Le fabricant de logiciels de bureau à distance AnyDesk a révélé vendredi avoir subi une cyberattaque ayant conduit à une compromission de ses systèmes de production.
La société allemande a déclaré que l’incident, découvert à la suite d’un audit de sécurité, ne constituait pas une attaque de ransomware et qu’elle en avait informé les autorités compétentes.
« Nous avons révoqué tous les certificats liés à la sécurité et les systèmes ont été corrigés ou remplacés si nécessaire », a indiqué la société dans un communiqué. « Nous allons bientôt révoquer l’ancien certificat de signature de code pour nos binaires et avons déjà commencé à le remplacer par un nouveau. »
Par prudence, AnyDesk a également révoqué tous les mots de passe de son portail Web, my.anydesk.[.]com, et il invite les utilisateurs à modifier leurs mots de passe si les mêmes mots de passe ont été réutilisés sur d’autres services en ligne.
Il est également recommandé aux utilisateurs de télécharger la dernière version du logiciel, accompagnée d’un nouveau certificat de signature de code.
AnyDesk n’a pas révélé quand et comment ses systèmes de production ont été piratés. On ne sait actuellement pas si des informations ont été volées à la suite du piratage. Cependant, il a souligné qu’il n’y avait aucune preuve que les systèmes des utilisateurs finaux aient été affectés.
Plus tôt cette semaine, Gnter Born of BornCity a révélé qu’AnyDesk était en maintenance depuis le 29 janvier. Le problème a été résolu le 1er février. Auparavant, le 24 janvier, la société avait également alerté les utilisateurs des « délais d’attente intermittents » et de la « dégradation du service » avec son Portail Clients.
AnyDesk compte plus de 170 000 clients, dont Amedes, AutoForm Engineering, LG Electronics, Samsung Electronics, Spidercam et Thales.
La divulgation intervient un jour après que Cloudflare a déclaré avoir été violé par un attaquant présumé appartenant à un État-nation, utilisant des informations d’identification volées pour obtenir un accès non autorisé à son serveur Atlassian et, finalement, accéder à une partie de la documentation et à une quantité limitée de code source.
Mise à jour
La société de cybersécurité Resecurity a déclaré avoir trouvé deux acteurs malveillants, dont l’un s’appelle « Jobaaaaa », annonçant un « nombre important d’identifiants clients AnyDesk à vendre sur Exploit ».[.] », notant qu’il pourrait être utilisé pour « des escroqueries au support technique et du courrier (hameçonnage) ».
L’acteur menaçant a été découvert proposant 18 317 comptes pour 15 000 $ en cryptomonnaie, en plus d’avoir conclu un accord par séquestre sur le forum sur la cybercriminalité.
« En particulier, les horodatages visibles sur les captures d’écran partagées par l’acteur illustrent un accès non autorisé réussi en date du 3 février 2024 (divulgation post-incident) », a indiqué la société. « Il est possible que tous les clients n’aient pas modifié leurs identifiants d’accès, ou que ce mécanisme soit toujours en cours par les parties concernées. »
On ne sait pas exactement comment les informations d’identification ont été obtenues, mais Resecurity a déclaré que les cybercriminels pourraient se précipiter pour monétiser les informations d’identification disponibles des clients, étant donné que les mots de passe pourraient être réinitialisés.
Hacker News a contacté AnyDesk pour de plus amples commentaires, et nous mettrons à jour l’histoire si nous recevons une réponse.