[Article mis à jour le 28 juin 2024 à 18h56] Une enquête en cours chez le géant du contrôle à distance TeamViewer sème le trouble. Alors que l'entreprise parle pudiquement d'« irrégularité » dans ses systèmes, des experts en cybersécurité évoquent une importante compromission. Les utilisateurs du logiciel sont prévenus, mais les données clients ne seraient pas touchées.
L'affaire fait grand bruit dans le petit monde de la cybersécurité. TeamViewer, le célèbre logiciel permettant de prendre le contrôle d'un ordinateur à distance, qui affichait en 2023 2,5 milliards d'installations dans le monde, serait victime d'un incident de sécurité.
L'information a commencé à circuler le 26 juin, quand l'entreprise allemande a publié un communiqué plutôt sibyllin. Depuis, les rumeurs vont bon train, et les experts s'en donnent à cœur joie pour tenter de comprendre ce qu'il se passe réellement chez TeamViewer. Entre communication maîtrisée de l'entreprise et alertes des spécialistes, difficile de démêler le vrai du faux.
« Une irrégularité » : TeamViewer joue la carte de la prudence
« […] Notre équipe de sécurité a détecté une irrégularité dans l'environnement informatique interne de TeamViewer », peut-on lire dans un communiqué publié sur le site de l'entreprise le mercredi 26 juin 2024. Elle assure avoir immédiatement réagi en activant ses procédures d'urgence et en faisant appel à des experts en cybersécurité.
Elle met également un point d'honneur à rassurer ses clients : « Rien ne permet de penser que l'environnement du produit ou les données client sont affectés. »
TeamViewer insiste sur l'indépendance totale entre son réseau interne et l'environnement du produit. L'entreprise affirme que sa priorité est de garantir l'intégrité de ses systèmes. Elle promet une communication transparente au fur et à mesure de l'avancée des investigations.
La posture de TeamViewer est claire : ne pas céder à la panique et éviter d'utiliser des termes alarmistes. L'entreprise préfère parler d'« irrégularité » plutôt que de « cyberattaque » ou de « piratage ». Cette communication mesurée vise sans doute à ne pas effrayer ses 600 000 clients, dont la confiance est cruciale pour son activité. On marche d'autant plus sur des œufs chez TeamViewer qu'une campagne de ransomware avait déjà quelque peu contrarié la firme allemande en janvier 2024.
Les experts persuadés d'une cyberattaque avaient vu juste, TeamViewer revoit sa communication
Pendant que TeamViewer joue la carte de la prudence, les experts en cybersécurité tirent la sonnette d'alarme. Jeffrey, un spécialiste reconnu en cybersécurité, a partagé sur Mastodon une note du groupe NCC, référence dans le domaine. Celle-ci évoque une « compromission importante » de la plateforme TeamViewer par un groupe APT (Advanced Persistent Threat).
Le Health-ISAC (Information Sharing and Analysis Center) va plus loin en pointant du doigt APT29, aussi connu sous le nom de Cozy Bear, un groupe de hackers lié aux services de renseignement russes et qui s'en était pris à Microsoft début 2024. Cette accusation donne une tout autre dimension à l'affaire, laissant planer le spectre d'une opération d'espionnage à grande échelle.
Face à ces révélations, les recommandations faites aux utilisateurs se multiplient. Le H-ISAC conseille d'examiner les journaux pour détecter tout trafic inhabituel sur les postes distants. Il préconise également d'activer l'authentification à deux facteurs, et d'utiliser des listes blanches et noires pour contrôler les accès.
C'est finalement en ce vendredi 28 juin que TeamViewer a publié une mise à jour de son communiqué. « Sur la base d'une surveillance continue de la sécurité, nos équipes ont identifié un comportement suspect de ce compte et ont immédiatement mis en œuvre des mesures de réponse aux incidents. Avec notre soutien externe en matière de réponse aux incidents, nous attribuons actuellement cette activité à l'acteur de la menace connu sous le nom d'APT29 / Midnight Blizzard », tout en répétant que les données produit et clients n'ont pas été touchées.
- Version complète gratuite pour un usage personnel
- Panneau d'actions rapides
- Accès multiplateforme
Sources : The Register, TeamViewer, Jeffrey sur Mastodon
