ICTjournal 05/2021

06 actuel ransomware Le

06 actuel ransomware Le ransomware REvil paralyse des centaines d’entreprises Une attaque contre Kaseya a servi de vecteur à un ransomware et touché plusieurs centaines d’entreprises dans le monde. Un institut néerlandais avait signalé une faille au fournisseur en avril, mais elle a tardé à être corrigée. Yannick Chavanne, Rodolphe Koller, Maximilian Schenner Ce scénario d’attaque à la supply chain rappelle celui de la vaste campagne de cyberespionnage SolarWinds perpétrée fin 2020. Une attaque à la supply chain logicielle contre le fournisseur américain Kaseya a eu un impact massif sur des entreprises du monde entier. Les attaquants ont eu accès à l’outil de Remote Monitoring Management VSA de Kaseya. VSA est principalement utilisé par les fournisseurs de services managés qui gèrent l’informatique de PME. VSA a servi de vecteur aux attaquants, afin de faire chanter des entreprises en Amérique du Nord et du Sud, en Europe et en Afrique. Les attaquants ont exigé une rançon de 70 millions de dollars américains. Selon l’agence Reuters, plusieurs centaines d’entreprises dans le monde sont touchées par l’attaque. Alors que Bleepingcomputer évoque plus d’un millier de firmes victimes. Mises à jour malveillantes D’après le Centre national pour la cybersécurité (NCSC), aucune firme suisse n’est concernée. Le NCSC a précisé que le groupe de hackers REvil (alias Sodinokibi) est suspecté d’avoir piraté le logiciel de gestion informatique VSA de Kaseya et causé l’installation de mises à jour malveillantes. Un scénario d’attaque à la supply chain qui rappelle celui de la vaste campagne de cyberespionnage SolarWinds perpétrée fin 2020. A noter que le gang REvil a récemment fait parler de lui en ciblant Apple à l’occasion de sa keynote de printemps, ainsi que la multinationale de la viande JBS. Kaseya connaissait l’une des vulnérabilités Selon différents médias dont The Register, l’éditeur américain Kaseya connaissait déjà l’une des vulnérabilités de son outil exploitée par les hackers. L’institut néerlandais DIVD CSIRT lui aurait signalé sept vulnérabilités au mois d’avril: quatre d’entre elles ont été rapidement corrigées, mais l’une des trois autres a été exploitée par les pirates avant sa correction. Selon une analyse de Tenable, les attaquants auraient profité de trois vulnérabilités zero day permettant respectivement de télécharger un fichier arbitraire, d’injecter du code et de contourner l’authentification. Cette dernière fait justement partie des problèmes signalés par DIVD CSIRT. Vitesse et ressources Les spécialistes de Kaseya ont donc été pris de vitesse. Ce n’est pas une surprise, la cybersécurité se joue souvent à qui, entre les spécialistes malveillants et bienveillants, sera le plus rapide à détecter une vulnérabilité, afin de l’exploiter pour les premiers et de la patcher pour les seconds. Et parfois cela ne suffit pas: lorsqu’il ne s’agit pas d’un SaaS mais d’un logiciel installé, il faut encore attendre que les utilisateurs déploient les correctifs. On se souvient des attaques avec le ransomware DearCry qui ont touché des organisations ce printemps avant qu’elles n’aient installé le correctif sur leurs serveurs Exchange. Image: Gwengoat / iStock.com Correctifs publiés Le 12 juillet, Kaseya a publié le correctif pour patcher les failles de sécurité responsables de la récente attaque par ransomware. Sur sa page web dédiée à cet incident, le fournisseur de services managés indique avoir publié les correctifs pour les clients VSA on-premise. Si l’attaque a principalement touché cette version sur site, la déclinaison SaaS du logiciel a également été temporairement indisponible. La restauration des services SaaS est désormais 100% achevée. 05 / 2021 www.ictjournal.ch © netzmedien ag

actuel marché public 07 Cloud de la Confédération: Google fait recours ych/cwa. Cinq fournisseurs de cloud public remportent l’appel d’offres de la Confédération pour la fourniture de services à hauteur de 110 millions de francs suisses, de septembre 2021 à la fin du mois d’août 2026. Selon le média alémanique Inside Channels, huit fournisseurs avaient posé leur candidature. La surprise vient d’Alibaba, qui fait partie des gagnants, alors que le mastodonte chinois n’est pas encore bien implanté en Suisse. Autre surprise, l’absence de Google qui jouit pourtant d’une forte présence en Suisse Les cinq gagnants et les critères déterminants selon les informations disponibles sur la plateforme Simap.ch: ∙∙ IBM Suisse, critères déterminants: acceptation la plus large possible des conditions du contrat visées et proposition de prix et de rabais de volume attrayants. ∙∙ Amazon Web Services EMEA, critères déterminants: acceptation la plus large possible des conditions du contrat visées et obtention d’un nombre élevé de points pour le critère relatif aux centres de calcul. ∙∙ Oracle Suisse, critères déterminants: proposition des prix et des rabais de volume les plus intéressants. ∙∙ Microsoft Suisse, critères déterminants: obtention du nombre de points le plus élevé pour le critère relatif aux centres de calcul existant déjà en Suisse. ∙∙ Alibaba Europe, critères déterminants: proposition de prix très attrayants. Recours de Google Cette adjudication est toutefois suspendue. Alors que certains fournisseurs suisses (dont l’entreprise genevoise Infomaniak) avaient critiqué le fait que l’appel d’offres soit réservé aux fournisseurs cloud disposant de centres de données sur au moins trois continents différents et servant une clientèle internationale, la Chancellerie fédérale a fait savoir qu’un recours a été déposé dans les délais contre la décision. Selon une information de l’agence Keystone-ATS, le recours provient de Google. Un porte-parole a expliqué que la firme californienne est convaincue que ses solutions cloud remplissent les exigences requises et qu’elle est le mieux outillée. Image: Alfred Koch / Fotolia.com Publicité HELP US TO ORGANISE THE SKY Make your career take off with skyguide Skyguide is recruiting in all sectors Plus d'informations: skyguide.ch/career – work@skyguide.ch with you, all the way. P. ex. comme contrôleur·euse de la circulation aérienne dipl. ES skyguide.ch/futur