Le célèbre outil de prise de main à distance nommé TeamViewer, largement utilisé par les professionnels de l’informatique, mais pas que… est également utilisé par les cybercriminels pour mettre en place leurs attaques et pièges numériques.
Une procédure bien réfléchie
Pour cause, TeamViewer, le logiciel utilisé partout dans le monde pour effectuer des prises de main à distance sur n’importe quel périphérique (ordinateur, mac, serveur, smartphone, tablette…) semble être compromis.
En exploitant une technique appelée « credential stuffing » en anglais, cette technique repose sur la fuite d’identifiants et de mots de passe de comptes TeamViewer permettant à un attaquant de disposer de l’accès directe à l’infrastructure informatique d’une entreprise, sans en exploiter les failles. Une technique permettant un gain de temps considérable et une discrétion accrue pour les attaquants.
Des possibilités multiples
Une fois l’accès établie par un attaquant malveillant, les possibilités d’activités au sein du réseau de l’entreprise sont multiples, tel que:
- Cyber espionnage industriel
- Déploiement de ransomware
- Déploiement de virus, bots, scripts fantômes
- Vol de données
- Campagnes de phishing
- Sabotage numérique
- Déstabilisation informatique
Le rapport d'Huntress
Huntress démontre dans sont rapport que l’outil TeamViewer est encore largement utilisé dans le milieu de l’ombre. Que se soit pour se faire passer pour des techniciens informatique et piéger leurs victimes, ou disposer d’un accès de base à une structure informatique d’une entreprise.
Dans le rapport écrit par Huntress, les attaquants se connectaient au réseau de l’entreprise via l’outil et tentaient de déployer un virus appelé ransomware en utilisant un déploiement par script Batch (disponible sur tous les ordinateurs Windows). Ce script aurait permis d’éxécuter un fichier de librairie DLL via une commande rundll32.
Un virus nouvellement généré
D’après les derniers rapports d’Huntress, il semblerait que ce ransomware ai été généré par le builder (outil permettant de compiler et de rendre exécutable le virus) utilisé pour généré le ransomware LockBit. Une trace de similarité entre les signatures des deux virus à été identifiée. Encore aucun groupe n’a revendiqué ces attaques, ainsi que la signature de son virus.
TeamViewer se dédouane
Après la publication de ces éléments, TeamViewer à publié un communiqué officiel indiquant à ses utilisateurs de configurer correctement le logiciel et à appliquer les mesures de sécurité suivantes:
Accès facile
La fonction « accès facile », accès sans mot de passe est décrite comme très sûre car elle permet de se connecter à un système via un compte authentifié (sécurisé par authentification à double facteur) et notifié dans le programme du système cible.
Liste d'autorisation
Il est également conseillé de restreindre l'accès à distance à votre appareil uniquement via la fonction « Liste d'autorisation ». Seuls les comptes TeamViewer désignés ou les profils d'entreprise pourront se connecter à votre appareil.
Mot de passe
Si vous optez pour un mot de passe, il est conseillé d'utiliser les meilleures pratiques en matière de génération de mot de passe. Un mot de passe 8 caractères minimum confondant minuscules et majuscules, chiffres et caractères spéciaux. n'utilisez pas de termes simples ou standard comme des mots sortants du dictionnaire.
Nos recommendations
Les protocoles d’accès aux ressources externes ou internes varient en fonction des usages, à savoir particulier ou professionnel.
Accès particulier
Anydesk
Nous vous recommandons l'usage du logiciel Anydesk, outil similaire à TeamViewer. Cet outil semblerait moins utilisé que TeamViewer par les pirates.
Identifier votre interlocuteur
Lors de dépannage à distance avec des outils de prise de main à distance, nous vous recommandons de bien identifier votre interlocuteur. Entreprise pour laquelle il travail, son rôle, son nom. Si le discours de celui-ci ne vous convainc pas, mettez un terme à la prise de main à distance.
Accès sans surveillance
Ne laissez pas l'accès de votre ordinateur à un technicien sans surveillance. Restez à proximité ou devant votre écran afin de contrôler l'activité, l'état de l'intervention. En cas de doute, demandez ce que le technicien entreprend.
Accès sans surveillance
Quelque soit les cas d'usages auxquels vous êtes exposés, nous vous recommandons fortement d'utiliser un logiciel antivirus performant afin de vous protéger d'exécution de code non désiré, de téléchargement de virus ou autre menaces pouvant être exécutées pendant la prise de main à distance.
Accès professionnel
Usage d'un VPN
En entreprise, il est de coutume d'utiliser les tunnels VPN pour communiquer et procéder à des manipulations sur les machines internes. En cas de sites distants, nous vous recommandons de créer un réseau VPN maillé, permettant de sécuriser vos transactions internes sans utilisé de logiciels tiers tel que Anydesk ou encore TeamViewer.
Renouvellement des procédures & mots de passe
Les procédures de création, de gestion et de renouvellement des mots de passe doivent être encadrées et actualisées régulièrement. Quant aux règles d'accès des équipements, celles-ci doivent être notifiées et faire l'objet d'autorisation préalable de la part de l'administration informatique.
Accès extérieur
En cas d'accès extérieur à votre organisation, prenez des précautions. Si possible essayez de ne pas utiliser le même matériel sur lequel vous faites votre administratif. Essayez de disposer d'une connexion internet séparée (mobile, box 4G). Dans certains cas, utilisez le « bac à sable Windows » pour être sûr de ne pas infecter votre matériel.
Antivirus
Quelque soit les cas d'usages auxquels vous êtes exposés, nous vous recommandons fortement d'utiliser un logiciel antivirus performant afin de vous protéger d'exécution de code non désiré, de téléchargement de virus ou autre menaces pouvant être exécutées pendant la prise de main à distance.
En cas de doutes, rapprochez vous de notre équipe technique.
Si vous ne possédez pas d’antivirus, nous vous conseillons de lire l’article ci-dessous.
- All Post
- Cybersécurité
- Informations
- Nos services
Campagne de fraude numérique en cours. Les bons gestes à adopter ! Notre équipe à détectée plusieurs incidents faisant…