Un cybercriminel a compromis une cinquantaine d'entreprises à travers le monde en exploitant des identifiants volés par des logiciels malveillants. C'est l'absence d'authentification multifacteur sur les plateformes de partage de fichiers qui a rendu ces intrusions possibles.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
L'acteur Zestix, également connu sous le pseudonyme Sentap, a mis en vente sur le dark web des données provenant d'environ 50 organisations internationales. Les victimes incluent Iberia Airlines, l'ingénierie américaine Pickett & Associates, le constructeur japonais Sekisui House et la police militaire brésilienne via Maida Health. L'enquête du spécialiste de la cyber-sécurité Hudson Rock révèle que ces intrusions ne reposent pas sur des exploits techniques sophistiqués, mais sur une faille de sécurité basique : l'absence d'authentification multifacteur (MFA).
Un pirate opportuniste
Le mode opératoire de Zestix relève davantage de l'opportunisme que du piratage complexe. Tout commence en amont, lorsqu'un employé infecte son ordinateur personnel avec un "infostealer" (comme RedLine ou Lumma). Ce logiciel malveillant aspire alors silencieusement les mots de passe du navigateur et les envoie vers des bases de données massives sur le dark web. C'est à cette étape que Zestix intervient : il n'a pas infecté la machine lui-même, mais il acquiert ces listes d'identifiants (logs) déjà constituées pour y rechercher spécifiquement des accès aux portails d'entreprise comme ShareFile, Nextcloud ou OwnCloud.
Puisque les victimes n'ont pas activé la double authentification, Zestix n'a plus qu'à entrer par la grande porte avec les accès valides qu'il vient d'acheter. Hudson Rock a d'ailleurs noté que certains de ces identifiants dormaient dans ces bases de données depuis des années avant d'être exploités par ce cybercriminel.
Pour les victimes, les conséquences peuvent être lourdes. Pickett & Associates a vu fuir 139 Go de données LiDAR sur les infrastructures électriques américaines. Intecro Robotics, fabricant turc d'équipements de défense, a perdu des plans du drone Akıncı et du chasseur TF-X, des documents pourtant protégés par la réglementation américaine ITAR sur le trafic d'armes. De son côté, Iberia Airlines a perdu 77 Go de données techniques sur ses A320/A321. CRRC MA, constructeur de trains pour le métro de Los Angeles, a exposé des plans complets de signalisation et les coordonnées GPS de ses salles de contrôle.
L'authentification multifacteur ne doit plus être une option
Progress Software, éditeur de ShareFile, a confirmé à The Register que ces intrusions ne résultent pas de vulnérabilités de sa plateforme, mais bien de l'utilisation d'identifiants volés dans des environnements sans double authentification.
En septembre dernier, nous rapportions que seulement 45% des entreprises imposaient le MFA. Les logiciels malveillants comme Shuyal Stealer, Lumma Stealer ou les fausses mises à jour Windows se multiplient et redoublent d'ingéniosité pour voler les données sensibles.
Si les outils de cybersécurité traditionnels défendent le périmètre et les postes professionnels, ils n'ont aucun effet sur les appareils personnels des employés et des sous-traitants. Or bien souvent, ces ordinateurs hors réseau accèdent aux ressources professionnelles sans supervision.
