TeamViewer a annoncé vendredi 28 juin avoir détecté une intrusion informatique attribuée à APT29, une unité des services de renseignement étrangers russes régulièrement identifiée dans des opérations d’espionnage très sophistiquées.
Le communiqué de l’entreprise, qui avait annoncé la veille avoir identifié des « irrégularités » dans son système, inquiète fortement les experts. TeamViewer est connu pour commercialiser des outils d’accès à distance populaires dans le monde entier, utilisés par exemple pour partager le contrôle d’un ordinateur lors du dépannage. TeamViewer estime actuellement que l’attaque s’est limitée à une partie du réseau et que les pirates n’ont pas réussi à accéder aux données des clients ni à l’infrastructure relative aux produits développés par l’entreprise. Une nouvelle communication est attendue d’ici la fin de soirée (heure française).
L’entreprise affirme que cette attaque a débuté le 26 juin et a utilisé les identifiants d’un employé, un point d’entrée très classique dans les cas d’intrusion informatique dans un réseau d’entreprise. Une alerte avait été lancée le 27 juin par la société spécialisée en sécurité informatique NCC Group, qui affirmait avoir reçu des informations indiquant une compromission de TeamViewer par APT29.
Le développeur allemand, qui compte des centaines de milliers de clients dans le monde entier, est une cible de choix pour les groupes d’espionnage. Son logiciel largement distribué, s’il était compromis ou modifié, constituerait une passerelle idéale pour prendre le contrôle d’autres réseaux. Ces attaques, appelées ” chaîne d’approvisionnement “parce qu’ils ciblent les prestataires de services qui approvisionnent les entreprises et les institutions du monde entier, ils constituent aujourd’hui l’une des principales menaces, tant en termes d’espionnage que de cybercriminalité.
Un acteur spécialisé dans l’espionnage
Le groupe APT 29 est l’un des principaux acteurs impliqués dans les opérations de cyberespionnage russes. Le 19 juin, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a publié un rapport détaillant comment ce groupe, également appelé Nobelium, avait ciblé de nombreux diplomates français depuis 2021. L’ambassade de France à Kiev a notamment été visée par un email contenant une pièce jointe infectée.
Lire l’interview | Article réservé à nos abonnés Cyberattaques : « la menace est réelle », des JO aux élections européennes
Ajouter à vos sélections
APT29 s’est d’ailleurs déjà déjà illustré par des attaques du type de celles qui ont touché TeamViewer. « Ils attaquent ces entreprises technologiques pour atteindre leurs clients et espèrent trouver des informations qui alimenteront la stratégie du Kremlin. »a déclaré John Hultquist, analyste en chef du cabinet spécialisé Mandiant, dans un communiqué envoyé à Monde. Par exemple, une attaque extrêmement sophistiquée révélée en 2020 a visé la société de développement informatique SolarWinds, qui vend ses outils à des entreprises et institutions du monde entier. Les pirates d’APT29 ont réussi à installer une porte dérobée dans le logiciel commercialisé par l’entreprise qui leur a permis d’espionner les clients concernés.
Lire aussi | Article réservé à nos abonnés L’affaire SolarWinds, l’une des opérations de cyberespionnage « les plus sophistiquées » de la décennie
Ajouter à vos sélections
