ownCloud demande à ses utilisateurs de renforcer en urgence la sécurité de leurs serveurs après une série d’intrusions rendues possibles par de simples mots de passe volés.
Si vous tentez de reprendre la main sur vos données et d'échapper aux GAFAM, alors vous avez peut-être une instance de ownCloud. L’éditeur du logiciel de partage de fichiers open source a publié un avertissement ciblant les déploiements auto-hébergés. Souvent, ces derniers sont gérés par des entreprises ou des administrations. Pour mémoire, il ne s'agit pas ici d'une faille, mais d’identifiants récupérés sur des machines infectées, lesquels ont ensuite été exploités pour accéder à des comptes non protégés par l’authentification multifacteur.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
MFA, un rempart indispensable en cas de fuite de données
Dans un bulletin de sécurité, ownCloud revient sur un rapport du spécialiste Hudson Rock, lequel a mis en évidence des intrusions touchant plusieurs plateformes de partage de fichiers auto‑hébergées, dont certaines instances communautaires d’ownCloud. Comme nous le rapportions en début de semaine, le hacker, Zestix, également connu sous le pseudonyme Sentap, a mis en vente sur le dark web des données provenant d'environ 50 organisations internationales.
ownCloud insiste donc sur le fait que la plateforme n'a pas été "piratée" au sens classique. Aucune faille inconnue, aucun "zero‑day", n’a été exploité pour entrer sur les serveurs. Les attaquants se sont contentés d’utiliser des combinaisons identifiant/mot de passe déjà dérobées ailleurs.
Ces identifiants proviennent de malwares dits "infostealers", comme RedLine, Lumma ou Vidar, installés sur les postes des employés. Une fois en place, ces logiciels aspirent les mots de passe stockés dans le navigateur ou le système, puis les revendent en masse sur des places de marché souterraines. Un cybercriminel peut ensuite filtrer ces bases pour repérer des accès à des services d’entreprise, dont des portails ownCloud, puis se connecter comme un utilisateur légitime dès lors qu’aucune authentification supplémentaire n’est demandée.
L’éditeur demande donc aux administrateurs d’activer sans délai l’authentification multifacteur pour tous les comptes, via les mécanismes de double authentification déjà intégrés. Il recommande aussi de forcer une réinitialisation des mots de passe, d’analyser les journaux de connexion à la recherche d’activités anormales et d’invalider les sessions en cours pour imposer une nouvelle authentification avec MFA.
