L'ANSSI et le CERT-FR alertent en cette fin de semaine sur une vulnérabilité critique dans les produits de l'entreprise Mitel, entre autres failles. La brèche majeure expose de nombreux utilisateurs professionnels à des cyberattaques.
En France, l'alerte a été diffusée le jeudi 11 décembre par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Le CERT-FR y pointe, au milieu de « multiples vulnérabilités », une faille sérieuse dans l'écosystème Mitel. L'entreprise canadienne, poids lourd des communications d'entreprise avec 35 millions d'utilisateurs répartis dans une centaine de pays, doit notamment gérer une vulnérabilité critique. Cette dernière permet aux hackers de s'infiltrer dans les messageries professionnelles pour dérober des données sensibles, à l'aide de simples e-mails piégés.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Une brèche dans Ignite Mail expose les entreprises aux cyberattaques
Les experts en sécurité ont identifié Ignite Mail, le système de messagerie intégré aux plateformes MiContact Center Business et Mitel CX, comme le talon d'Achille du géant canadien. Cette faille de type Cross-Site Scripting obtient un score de 8,2 sur 10 à l'échelle internationale CVSS, ce qui la classe dans la catégorie « haute sévérité ». Concrètement, elle se matérialise par un cybercriminel capable de glisser du code hostile dans un e-mail, sans même avoir besoin de s'authentifier. On appelle cela de l'injection de code indirecte à distance (XSS).
Le scénario d'attaque suit un schéma bien particulier. L'utilisateur reçoit un message apparemment anodin, l'ouvre dans son interface Ignite, et déclenche l'exécution du script malveillant. À partir de là, l'attaquant peut capturer des informations confidentielles, surveiller les échanges ou rebondir vers d'autres systèmes de l'entreprise. La nature « stockée » de cette injection rend l'opération d'autant plus redoutable, car le poison reste tapi dans les serveurs.
Heureusement, l'exposition ne concerne pas l'intégralité du parc installé. Seules les organisations ayant souscrit une licence multimédia et activé les fonctions e-mail dans Web Ignite, Desktop Ignite ou Contact Center Client doivent s'inquiéter. Pour les autres configurations, le risque reste nul.
Les patches de sécurité à installer d'urgence pour protéger vos systèmes Mitel
Mitel a distribué une série de correctifs d'urgence pour boucher la brèche. Les administrateurs de MiContact Center Business peuvent récupérer quatre patches différents selon leur version installée. Plus précisément, le KB20257760 couvre la mouture 10.2.0.10, tandis que les KB573971, KB573970 et KB573969 protègent respectivement les versions 10.1.0.5, 10.0.0.4 et 9.5.0.3. Du côté de Mitel CX, le correctif KB20254739 sécurise la version 1.1.0.1.
Ces rustines logicielles ne sont toutefois que des solutions transitoires. Mitel prépare des versions définitivement assainies : la 10.2.0.11 pour MiContact Center Business et la 2.0 pour Mitel CX. Leur date de sortie n'a pas été communiquée, ce qui place les entreprises dans une situation d'attente assez inconfortable. En attendant, installer les correctifs provisoires reste absolument indispensable.
En parallèle aux mesures techniques, les directions informatiques doivent briefer leurs troupes. Face à ce type d'attaque qui exploite la crédulité humaine, former les collaborateurs à reconnaître les messages suspects constitue un rempart aussi efficace qu'un firewall. La cybersécurité reste avant tout une affaire de vigilance collective.
