Qu’est-il arrivé à Kaseya ? Comment pouvons-nous l’éviter?
Imaginez qu’on vous propose une serrure électronique pour votre porte d’entrée. Celui qui vous permet d’ouvrir la porte via une application mobile dans le cloud,, l’accepteriez-vous ?
Ils ont promis qu’ils ne perdraient jamais la clé, qu’avec l’app, vous pourriez ouvrir la porte à distance et même via une webcam dans le judas, l’appareil pourra reconnaître votre visage et vous accueillir.
Eh bien, tout serait plus facile pour les voleurs, ils n’auraient plus à faire du porte-à-porte en cassant les serrures. Un bon voleur suffirait pour briser la sécurité de l’entreprise qui gère l’application dans le cloud et revendre la clé principale au plus offrant sur le deepweb, cela inclut groupes criminels à travers le monde. Jours plus tard,et si ce n’est pas le même après-midi, des voleurs spécialisés entreront dans les maisons des clients sélectionnés, car, bien sûr, en plus de la clé principale, ils auront une liste de clients avec des attributs, des noms et des adresses. L’entreprise cloud devra choisir entre pleurer, tout nier et déclarer faillite. Le président de la société (CEO) sera probablement le premier à vendre ses actions à la va-vite.
Des semaines après que les mécréants aient épuisé des centaines d’adresses sur leurs listes, grâce à la webcam et aux journaux d’accès, car par ceux-ci ils sauront que personne n’est à la maison, les propriétaires arriveront chez eux et quand ils arriveront, ils ne sauront pas ce qui s’est passé, car entre autres il n’y aura pas, même, une porte forcée révélatrice.
Ne riez pas, ce ressemble-t-il au script de la prochaine production Netflix ? Vous devez savoir que ce que je vous dis s’est déjà produit auparavant, y compris le PDG vendant des actions à la va-vite.
Cela peut sembler un retour en arrière, mais prendre la décision de revenir à une gestion informatique à l’ancienne peut faire la différence entre la vie et la mort pour une entreprise. La réduction des coûts, l’externalisation des services et la culture du « tout dans le cloud » nous conduisent inexorablement à ce phénomène.
Il s’est passé. Il se passe. Il s’agit du ransomware. Il s’agit de crypter toutes les informations puis de faire chanter pour sa récupération, son décryptage.
Ils entrent dans votre maison, ils prennent tout et si vous voulez le revoir, vous devrez payer une rançon. L’information est toujours là, cryptée, inaccessible. Rien ne fonctionne et pire, si vous essayez quelque chose ou que vous ne payez pas à temps, ils effacent tout pour toujours.
Cette fois, les personnes concernées ne sont pas les gouvernements ou les grandes entreprises. Ce sont des primeurs, des écoles maternelles, des restaurants, des dentistes… des centaines de petites et moyennes entreprises ont dû fermer à cause du blocage de leurs systèmes informatiques. Encore une fois, une attaque ransomware, qui crypte et verrouille tous les disques durs de vos ordinateurs. Demain, ce peut être votre entreprise… ou votre propre mobile personnel. Il est connecté au cloud, non ?
Toutes les victimes avaient un point commun : le logiciel d’accès à distance et de gestion des correctifs qu’elles utilisaient dans leur entreprise. Ce logiciel, Kaseya, est vendu à des prestataires de services managés – services informatiques externalisés – qu’ils utilisent ensuite pour gérer les réseaux de leurs clients, généralement des petites entreprises. Ce logiciel, bien sûr, fonctionne dans le cloud.
Le coût du sauvetage n’est pas ce qui est le plus important, même si les chiffres ne sont pas minces (on parle de 70 millions de dollars à Kaseya, une moyenne de 300 milliers d’USD à chaque individu touché).
Cela pourrait-il se reproduire demain ?
Absolument oui.
Le problème n’est plus le logiciel lui-même. Ce n’est pas que Kaseya soit un mauvais logiciel ou qu’il soit mal conçu. Son niveau d’ingénierie n’a probablement rien à envier aux grands de l’industrie comme Microsoft. Tout peut être amélioré, mais là n’est pas le problème.
Comme avec Solarwinds, un problème de sécurité a conduit les pirates informatiques à introduire leur logiciel malveillant dans le client, en utilisant le propre système de mise à jour du logiciel attaqué pour se propager. Comme un virus qui se réplique à l’intérieur de sa victime et se propage à ses proches, une fois à l’intérieur d’une maison, à l’abri du chauffage et des couvertures. Une fois l’attaque menée de cette manière, l’entreprise a à son tour eu des problèmes pour envoyer les patchs à ses clients, c’est-à-dire que le patient ne pouvait pas obtenir le médicament qui le guérirait. Pour certains clients qui n’ont jamais répondu par voie électronique, ils ont dû les appeler pour leur indiquer la procédure de mise à jour du logiciel.
Le problème avec Kaseya, c’est qu’il ne s’agit pas d’un logiciel pour les grandes entreprises, qui nécessite du personnel qualifié pour son fonctionnement, mais plutôt d’un logiciel utilisé pour fournir des services aux petites entreprises sans personnel technique, ou très peu, et qui ne peut pas gérer une attaque de ces caractéristiques.
Alors que Solarwinds est utilisé par des organisations gouvernementales, des banques et des entreprises figurant sur la liste des 500 premiers de Standards & Poors (une agence américaine de notation des services financiers), Kaseya est utilisé par les petites et moyennes entreprises du monde entier, et le problème de sécurité est bien plus important. massive et son impact peut être voire plus dévastateur.
Si l’attaque est dirigée contre une entreprise, et qu’elle réussit, elle permet de prendre le contrôle de cette entreprise. Si un fournisseur de services est attaqué et réussit, tous les systèmes de ses clients sont accessibles. C’est pourquoi l’attaque contre Kaseya est si grave, car Kaseya compte des dizaines de milliers de clients dans le monde grâce à son modèle SaaS (Software as a Service).
Bien que Kaseya soit une entreprise américaine, des entreprises touchées ont déjà été signalées dans toute l’Europe, le Moyen-Orient, l’Asie et l’Amérique latine.
L’attaque a connu un tel succès que des entreprises comme Elliptic, qui analysent les réseaux de crypto-monnaie pour analyser le trafic inhabituel, sont effrayées par le nombre de victimes qui procèdent au paiement de rançons. Certes, si l’attentat a été un succès économique, il y en aura bien d’autres.
Cela peut-il être évité ?
Eh bien, imaginez que vous êtes invité à un barbecue dans un jardin. Tout est beau, on dirait une villa de la Toscane italienne. La température est parfaite et l’arôme de la nourriture est délicieux. Le vin, la compagnie, tout est fantastique.
Il n’y a qu’un problème, les moustiques vont vous dévorer. Quand vous rentrerez chez vous, vous ne pourrez pas dormir, vous finirez plein de bisous et vous vous demanderez comment c’ est possible.
Quelque chose de similaire se produit avec Kaseya et Solarwinds. Ils sont fantastiques, mais allez-vous assumer les désagréments de manger à la campagne toute votre vie ? Il ne s’agit pas de mettre un pantalon, ou d’appliquer un insectifuge. Il y a des guêpes, des fourmis, toutes sortes de bestioles dans le champ, attirées par les gens et l’odeur de la nourriture.
Une fête dans la cuisine de votre maison est peut-être moins glamoureuse, mais si vous voulez juste bien manger et ne pas faire attention aux piqûres de moustiques, vous savez ce qu’il faut faire. Ce sera plus inconfortable, plus cher, mais il contrôle l’environnement.
Il en va de même pour les applications basées sur le cloud ou basées sur le modèle SaaS. Ils présentent de nombreux avantages, mais la sécurité n’en fait pas partie, car vous l’avez déléguée à des organisations que vous ne connaissez pas.
Si vous comptez sur l’informatique pour la continuité de votre activité, vous devrez peut-être prendre du recul et revenir aux modèles plus conservateurs. Après tout, les modes passent et le monde suit son cours.
Références:
https://techcrunch.com/2021/07/05/kaseya-hack-flood-ransomware/
https://csirt.divd.nl/2021/07/04/Kaseya-Case-Update-2/
L’équipe éditoriale de Pandora FMS est composée d’un groupe de rédacteurs et de professionnels de l’informatique ayant un point commun : leur passion pour la surveillance des systèmes informatiques. L’équipe éditoriale de Pandora FMS est composée d’un groupe de rédacteurs et de professionnels de l’informatique ayant un point commun : leur passion pour la surveillance des systèmes informatiques.
