Attacks/Breaches
Des attaquants motivés financièrement pourraient abuser du code source volé pour des attaques plus larges
A première vue, la violation massive chez Adobe qui a été révélée la semaine dernière ne correspond pas exactement au profil d’une attaque de cybercriminalité pure : Non seulement les malfaiteurs ont volé les données des clients et les informations relatives aux cartes de paiement de l’éditeur de logiciels, mais ils ont également mis la main sur le code source des logiciels ColdFusion, Acrobat et Reader d’Adobe.
On ne sait toujours pas exactement comment les attaquants ont obtenu les données des clients d’Adobe et son code source, ni ce qu’ils ont fait, le cas échéant, pour altérer le code source à des fins de fraude. Mais ce qui est clair, c’est que les attaquants ont accédé, volontairement ou par inadvertance, aux précieuses données financières des clients d’Adobe et à sa propriété intellectuelle, ce qui leur a ouvert de multiples voies pour gagner de l’argent.
« Ces types étaient orientés vers la finance », déclare Alex Holden, CISO chez Hold Security, qui, avec Brian Krebs de KrebsOnSecurity, a découvert les 40 gigaoctets de code source d’Adobe sur le même serveur que les données volées de LexisNexis, Dun & Bradstreet, Kroll et d’autres. « S’ils ont eu accès au code source en premier… cela reste à voir ».
Adobe a révélé jeudi en fin de journée avoir subi des « attaques sophistiquées » massives sur son réseau, qui ont entraîné le vol d’informations sensibles, notamment des informations sur les cartes de paiement de 2,9 millions de clients, ainsi que du code source de plusieurs logiciels Adobe, dont Adobe Acrobat, ColdFusion, ColdFusion Builder et d’autres logiciels Adobe. Brad Arkin, responsable de la sécurité chez Adobe, a déclaré que les attaques pourraient être liées.
Hold Security’s Holden dit que les attaquants semblent avoir eu les données volées en leur possession depuis au moins deux mois. Il dit que l’une de ses plus grandes inquiétudes est qu’une attaque zero-day soit en cours contre les applications Adobe qui n’a pas encore été repérée. « Ils pourraient avoir attaqué des cibles de haut niveau. C’est une pensée extrêmement inquiétante et effrayante », dit Holden.
Les cybercriminels essaient généralement d’encaisser rapidement les informations de cartes de paiement ou les identifiants d’utilisateurs volés. Bien que les données de carte de paiement des clients d’Adobe qui ont été volées étaient cryptées, selon Adobe, il est possible que les attaquants aient pu glaner les clés de cryptage ou craquer la crypto, selon sa force et sa mise en œuvre, disent les experts en sécurité.
Les attaquants pourraient monétiser le code source en trouvant et en vendant des exploits pour les applications Adobe, par exemple, disent les experts. Ou ils pourraient simplement garder les exploits pour eux-mêmes afin de les utiliser dans des attaques futures plus étendues.
« Si vous vous en prenez à Adobe ou à n’importe quelle entreprise, vous allez chercher des informations que vous pouvez monétiser rapidement, mais aussi si vous trouvez de très bonnes zero-days dans Adobe Reader ou ColdFusion, cela pourrait simplement conduire à de futures attaques sur plusieurs clients », déclare Benjamin Johnson, CTO de Carbon Black. » Tout le monde a Adobe… C’est une surface tellement énorme à cibler. «
Les ventes d’exploits sont lucratives, à hauteur de dizaines de milliers de dollars pour une application Adobe, par exemple. « Le code source est ce qui rapporte de l’argent : il permet de trouver les vulnérabilités des produits Adobe. Par exemple, un seul exploit zero-day pour Adobe Reader peut valoir 50 000 dollars sur le marché noir », explique Timo Hirvonen, chercheur senior chez F-Secure.
L’exploitation du code source d’Adobe offrirait aux attaquants un moyen plus efficace de voler des informations. « Dans le passé, il était si facile de faire des attaques en série — vous pouviez atteindre des millions de personnes grâce au phishing et aux keyloggers », explique Dan Hubbard, directeur technique d’OpenDNS. « Au lieu de s’en prendre au client et à l’élément humain, ils s’attaquent aux faiblesses de l’infrastructure, récupèrent des données et déterminent ce qu’il faut faire… C’est définitivement un changement intéressant dans les opérations. »
Si le pire scénario se réalise et que les attaquants ont effectivement empoisonné le code source d’Adobe pour ensuite le distribuer aux clients d’Adobe, alors la société de logiciels était davantage un moyen de parvenir à une fin pour les attaquants. « Si le code source volé concerne effectivement ColdFusion et Acrobat, des milliers de serveurs Web pourraient être compromis à volonté et il serait plus facile de compromettre les systèmes des utilisateurs finaux. Cette violation est un rappel effrayant que tous les éditeurs de logiciels devraient être sur leurs gardes, car ils pourraient, eux aussi, être un tremplin vers d’autres cibles « , déclare Chris Petersen, directeur technique et cofondateur de LogRhythm.
Il faudra peut-être un certain temps avant que le tableau complet de l’attaque d’Adobe n’apparaisse — si tant est qu’il apparaisse. Les experts en sécurité disent que si Adobe a effectivement mis jusqu’à six semaines pour remarquer l’attaque, l’éditeur de logiciels est désavantagé dès le départ. « Les méchants ont eu une longueur d’avance », déclare M. Johnson. La clé est toujours une détection rapide pour limiter les dégâts, disent les experts.
Bala Venkat, directeur marketing du fournisseur de sécurité applicative Cenzic, est d’accord. « D’après les enquêtes en cours, il semble que cette violation chez Adobe ait en fait commencé quelque part en août et se soit poursuivie jusqu’à fin septembre. Un tel mécanisme de détection et de réaction tardive est particulièrement alarmant. Les organisations doivent s’assurer qu’un processus de surveillance continue de la sécurité de toutes leurs applications de production est en place pour détecter et signaler les vulnérabilités en temps réel lorsqu’une violation se produit. Si cette politique est appliquée avec rigueur, de telles brèches auraient pu être contenues et les dommages minimisés beaucoup plus rapidement et plus efficacement. »
Une autre préoccupation est de savoir si les attaquants ont déjà fait des percées en ciblant les clients d’Adobe. « L’une de mes préoccupations est le mouvement latéral au sein de la base de clients », dit Johnson de Carbon Black, où les attaquants ont déjà hameçonné des clients d’Adobe pour voler des informations.
« Il faudra un certain temps avant de connaître toutes les ramifications de cette affaire », dit-il.
Et Adobe n’est pas la dernière victime de cette bande de cybercriminels : Les experts en sécurité disent qu’il faut s’attendre à d’autres révélations sur d’autres organisations qui ont été touchées.
Vous avez un commentaire sur cette histoire ? Veuillez cliquer sur « Ajouter votre commentaire » ci-dessous. Si vous souhaitez contacter directement les rédacteurs de Dark Reading, envoyez-nous un message.
Kelly Jackson Higgins est la rédactrice en chef de Dark Reading. Elle est un journaliste vétéran primé dans le domaine de la technologie et des affaires, avec plus de deux décennies d’expérience dans le reportage et l’édition pour diverses publications, notamment Network Computing, Secure Enterprise…. View Full Bio