Depuis le 3 février, une faille est exploitée dans un système d’exploitation, exposant des dizaines de clients à travers le monde.

L’année 2023 commence fort. Le dimanche 5 février, l’agence de cybersécurité italienne avertissait que plusieurs dizaines d’entreprises ont été touchées simultanément à travers le pays. Plusieurs attaques identifiées dans le pays par l’administration, exploitaient une faille sur l’interface de serveurs VMware ESXi.

Cette même vulnérabilité a mis en alerte la France, le Royaume-Uni, les États-Unis, le Canada et la Finlande. Des attaques ont été répertoriées dans chacun de ces pays. De nombreux serveurs à travers le monde ont été la cible de pirates informatiques, profitant de cette faille. Des fichiers ont été chiffrés par un ransomware et les assaillants demandent un virement de 2 bitcoins — autour de 42 000 euros — aujourd’hui pour débloquer les données.

Un système très populaire dans les services informatiques

Comment expliquer, clairement, cette vague de cyberattaque ? VMWare ESXi est un hyperviseur, c’est-à-dire un système d’exploitation, connu de tous les administrateurs de vos services informatiques. Cette interface permet de rationaliser les serveurs, pour lier plusieurs ordinateurs à une machine, par exemple. Un rouage essentiel pour que tous les employés puissent travailler à différents postes.

En 2021, une faille a été découverte sur ce système et un correctif a été proposé dans la foulée. Or, « certains clients vont lancer le service et ne pas se préoccuper du maintien opérationnel. Parfois, ils manqueront de temps, d’autres vont oublier ou encore n’auront pas les machines adéquates pour mettre à jour le système » nous explique Benoit Grumenwald, expert cybersécurité chez ESET en France. Cette maladresse, les pirates en ont profité et ont lancé une opération massive le 3 février. « Pour cela, ils utilisent un botnet — un réseau d’ordinateurs — pour parcourir un maximum d’adresses IP, les identifiants liés à chaque machine, et attaquer tous ceux qui n’auraient pas fait la mise à jour. »

Les victimes ont reçu la même note exigeant environ 2 bitcoin. // Source : DarkFeed
Les victimes ont reçu la même note exigeant environ 2 bitcoins. // Source : DarkFeed

Le caractère de cette opération montre qu’il s’agit d’une offensive sauvage sans cible précise. « Les victimes sont répertoriées au même moment dans de nombreux pays, la somme est plus faible qu’une rançon classique exigée après une attaque par ransomware sur les grosses entreprises et surtout, c’est la même pour beaucoup de monde. Quant au chiffrement des dossiers, il est assez aléatoire et des fichiers sensibles échappent au blocage », précise Benoit Grumenwald.

« Le client ne doit pas avoir une confiance aveugle dans son prestataire cloud. La sécurité du système est de sa responsabilité. Quand la faille a deux ans, cela laisse suffisamment de temps pour corriger. Quant à l’hébergeur, il ne doit pas surexposer les clients et donc les mettre à risque », analyse Julien Courtemanche, ingénieur chez WithSecure.

Pour les administrateurs, des mesures d’urgence s’imposent. Le CERT français, le service d’urgence en cas de cyberattaque, recommande sur son site « d’appliquer sans délai le contournement proposé par l’éditeur dans son article de blog. L’application seule des correctifs n’est pas suffisante. En effet, un attaquant a probablement déjà exploité la vulnérabilité et a pu déposer un code malveillant. Il est recommandé d’effectuer une analyse des systèmes afin de détecter tout signe de compromission. »

Il est difficile d’identifier le collectif de hackers responsable de cette attaque, le groupe Nevada a été suggéré, mais il se pourrait aussi que le groupe soit totalement nouveau dans le milieu criminel.

MAJ : le lien entre la panne internet touchant des millions d’Italiens et l’attaque sur VMWare n’est définitivement prouvée.


Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !