Depuis le 3 février, une faille est exploitée dans un système d’exploitation, exposant des dizaines de clients à travers le monde.

L’année 2023 commence fort. Le dimanche 5 février, l’agence de cybersécurité italienne avertissait que plusieurs dizaines d’entreprises ont été touchées simultanément à travers le pays. Plusieurs attaques identifiées dans le pays par l’administration, exploitaient une faille sur l’interface de serveurs VMware ESXi.

Cette même vulnérabilité a mis en alerte la France, le Royaume-Uni, les États-Unis, le Canada et la Finlande. Des attaques ont été répertoriées dans chacun de ces pays. De nombreux serveurs à travers le monde ont été la cible de pirates informatiques, profitant de cette faille. Des fichiers ont été chiffrés par un ransomware et les assaillants demandent un virement de 2 bitcoins — autour de 42 000 euros — aujourd’hui pour débloquer les données.

Un système très populaire dans les services informatiques

Comment expliquer, clairement, cette vague de cyberattaque ? VMWare ESXi est un hyperviseur, c’est-à-dire un système d’exploitation, connu de tous les administrateurs de vos services informatiques. Cette interface permet de rationaliser les serveurs, pour lier plusieurs ordinateurs à une machine, par exemple. Un rouage essentiel pour que tous les employés puissent travailler à différents postes.

En 2021, une faille a été découverte sur ce système et un correctif a été proposé dans la foulée. Or, « certains clients vont lancer le service et ne pas se préoccuper du maintien opérationnel. Parfois, ils manqueront de temps, d’autres vont oublier ou encore n’auront pas les machines adéquates pour mettre à jour le système » nous explique Benoit Grumenwald, expert cybersécurité chez ESET en France. Cette maladresse, les pirates en ont profité et ont lancé une opération massive le 3 février. « Pour cela, ils utilisent un botnet — un réseau d’ordinateurs — pour parcourir un maximum d’adresses IP, les identifiants liés à chaque machine, et attaquer tous ceux qui n’auraient pas fait la mise à jour. »

Les victimes ont reçu la même note exigeant environ 2 bitcoin. // Source : DarkFeed
Les victimes ont reçu la même note exigeant environ 2 bitcoins. // Source : DarkFeed

Le caractère de cette opération montre qu’il s’agit d’une offensive sauvage sans cible précise. « Les victimes sont répertoriées au même moment dans de nombreux pays, la somme est plus faible qu’une rançon classique exigée après une attaque par ransomware sur les grosses entreprises et surtout, c’est la même pour beaucoup de monde. Quant au chiffrement des dossiers, il est assez aléatoire et des fichiers sensibles échappent au blocage », précise Benoit Grumenwald.

« Le client ne doit pas avoir une confiance aveugle dans son prestataire cloud. La sécurité du système est de sa responsabilité. Quand la faille a deux ans, cela laisse suffisamment de temps pour corriger. Quant à l’hébergeur, il ne doit pas surexposer les clients et donc les mettre à risque », analyse Julien Courtemanche, ingénieur chez WithSecure.

Pour les administrateurs, des mesures d’urgence s’imposent. Le CERT français, le service d’urgence en cas de cyberattaque, recommande sur son site « d’appliquer sans délai le contournement proposé par l’éditeur dans son article de blog. L’application seule des correctifs n’est pas suffisante. En effet, un attaquant a probablement déjà exploité la vulnérabilité et a pu déposer un code malveillant. Il est recommandé d’effectuer une analyse des systèmes afin de détecter tout signe de compromission. »

Il est difficile d’identifier le collectif de hackers responsable de cette attaque, le groupe Nevada a été suggéré, mais il se pourrait aussi que le groupe soit totalement nouveau dans le milieu criminel.

MAJ : le lien entre la panne internet touchant des millions d’Italiens et l’attaque sur VMWare n’est définitivement prouvée.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !