Piratage informatique : Zoom sur le cas Kaseya

Piratage informatique : Zoom sur le cas Kaseya

Adem K.
Calendar picto
4/10/2021
Clock picto
8 min

En 2020, la plateforme contre la cybermalveillance du Gouvernement a publié une étude montrant le pourcentage de recherche d’assistance par catégorie de menace cyber. Sans surprise, le piratage informatique de compte en ligne représente la deuxième menace constatée, avec 12% des recherches d’assistance. Très souvent, il est rendu possible suite à un hameçonnage (première menace, avec 17% de recherche d’assistance) ou à la réutilisation par la victime d’un même mot de passe sur plusieurs sites internet dont l’un a pu être compromis. Le cas de l’entreprise américaine Kaseya illustre parfaitement à quel point la vulnérabilité d’une seule entreprise peut compromettre la sécurité de milliers d’autres à travers le monde.

Que s’est-il passé chez Kaseya

Durant le week-end du 4 juillet 2021, des pirates informatiques ont infiltré une entreprise de technologie de l'information basée en Floride et ont déployé une attaque par ransomware, exploitant une faille de sécurité, s'emparant d'une multitude de données personnelles et exigeant 70 millions de dollars en échange de leur restitution.


Le piratage de la société Kaseya, qui est déjà qualifié de "plus grande attaque par ransomware jamais enregistrée", a touché des centaines d'entreprises dans le monde, dont des supermarchés en Suède et des écoles en Nouvelle-Zélande.

Les faits

Juste avant le week-end du 4 juillet 2021, des pirates informatiques ont attaqué la société américaine Kaseya, demandant une rançon à plus de 1 000 entreprises. Le ransomware a été diffusé par le biais d'un programme malveillant via le serveur VSA de Kaseya le 2 juillet, et - en conséquence - des milliers de modules dans des centaines d'entreprises ont été facilement compromis et cryptés. VSA est un logiciel populaire de gestion des réseaux distants, utilisé par de nombreux MSP (Managed Services Providers) qui fournissent des services informatiques à d'autres entreprises. Entre les mains des pirates, le logiciel s'est transformé en distributeur de logiciels malveillants, rendant les fichiers illisibles, les e-mails professionnels inutilisables et les machines inopérantes. Kaseya a immédiatement demandé aux entreprises de fermer les serveurs, ce qui a eu des répercussions sur des milliers de clients.


Comme dans d'autres types d'attaques par porte dérobée (Backdoor en anglais), les logiciels de gestion de réseau sont un bon endroit pour cacher des logiciels malveillants, car ces systèmes peuvent généralement accéder à de nombreux sites et effectuer de nombreuses tâches, ce qui les rend particulièrement difficiles à surveiller.


Lorsque l'organisation criminelle REvil a diffusé le patch malveillant contenant une charge utile nommée "Sodinokibi", elle a procédé au chiffrement des serveurs et des dossiers partagés. Ainsi, le serveur de mise à jour de la société a été compromis, mais l'infrastructure de Kaseya ne semble pas avoir été affectée. Le code informatique à l'origine de l'attaque de Kaseya a été développé de telle sorte que le malware évite les systèmes utilisant le russe ou des langues apparentées. Il s'agissait du fil conducteur de  l'attaque par ransomware Darkside contre Colonial Pipeline, ce qui confirme les allégations selon lesquelles un groupe parrainé par le gouvernement russe est responsable.


Kaseya a confirmé qu'environ 1 500 entreprises ont été touchées par l'attaque. La chaîne de supermarchés suédoise Coop a dû fermer plus de 800 magasins le samedi 3 juillet, rendant ses caisses indisponibles, selon les réseaux sociaux de l'entreprise. Et selon les médias suédois, la chaîne de pharmacies Apotek Hjärtat et la société d'énergie finlandaise ST1 ont également été victimes de la cyberattaque. Il a été révélé que les cybercriminels ont envoyé deux demandes de rançon différentes directement aux entreprises, demandant 50 000 dollars aux petites entreprises et 5 millions de dollars aux grandes entreprises.

Qu'est-ce qui rend ce piratage particulièrement grave ?

Les pirates ont infiltré Kaseya, ont procédé au vol des données des clients et ont exigé une rançon pour les rendre. Selon les experts, ce qui rend ce piratage particulièrement grave est le fait que Kaseya soit un MSP - ses systèmes sont utilisés par des entreprises plus petites, avec des départements techniques et des ressources modestes. Grâce à des mises à jour régulières, Kaseya assure la sécurité informatique de ses systèmes, mais dans ce cas, les fonctions de sécurité ont été détournées pour diffuser des logiciels malveillants sur les systèmes des clients. Plus grave encore, les acteurs malveillants à l'origine de l'attaque ont ciblé des systèmes généralement utilisés pour protéger les clients contre les logiciels malveillants, a déclaré Doug Schmidt, professeur d'informatique à l'université Vanderbilt.

Pourquoi devrions-nous tous être préoccupés de la popularité des ransomwares ?

Ces dernières années, les pirates informatiques sont devenus plus agressifs, s'attaquant à des cibles plus importantes et potentiellement plus lucratives. Ils s'améliorent constamment et deviennent plus sophistiqués depuis la première attaque enregistrée en 1989. Dans leur forme brute, les ransomwares ne sont pas chiffrés - mais les pirates modernes utilisent des méthodes cryptographiques pour chiffrer les fichiers, les rendant inaccessibles aux propriétaires d'origine. Le cryptage des ransomwares peut également être utilisé sur les disques durs pour verrouiller complètement le système d'exploitation de l'ordinateur et empêcher la victime d'y accéder.


Malgré son nom, il n'y a aucune garantie que les paiements de rançon effectués seront honorés par les attaquants, ce qui place les victimes dans une situation terrible. En tant que cyberattaque à motivation financière, il s'agit actuellement de la principale menace liée aux logiciels malveillants dans le monde, comme l'indique Europol (IOCTA 2018).