Qui sont les nombreuses entreprises touchées par la faille décelée dans Moveit?
Le groupe de ransomware Clop n’a pas perdu son temps pour exploiter une faille touchant le logiciel de transfert de fichiers Moveit. Près d’un mois après sa découverte, la vulnérabilité a permis au gang de voler les données d’une liste impressionnante d’entreprises, dans le monde et en Suisse.
Découverte début juin, une faille touchant le logiciel de transfert de fichiers Moveit fait de nombreuses victimes, dont la liste ne cesse de s'allonger. Le NCSC a publié une alerte le 2 juin, appelant les entreprises suisses utilisatrices de la solution de «déconnecter du réseau les systèmes concernés, de vérifier s'ils ont été compromis et d'appliquer le correctif de sécurité».
Edité par l'entreprise Pogress Software (anciennement Ipswitch), Moveit est conçu pour transférer des données sensibles en toute sécurité entre partenaires et clients ou entre des systèmes internes, affirme l’éditeur sur la page dédiée au produit. MOVEit bénéficie en outre de capacités d'automatisation des flux de travail.
Le gang Clop saute sur l’occasion
La vulnérabilité a été identifiée par Progress fin mai. La page que l'éditeur consacre à cette faille indique que cette dernière peut conduire à une élévation des privilèges et à un accès non autorisé à l'environnement ciblé. Un correctif de sécurité a été publié en 48 heures. Un délai qui s’est finalement avéré trop long, rapporte Checkpoint. «Des cybercriminels associés au groupe de ransomware Clop, affilié à la Russie, ont exploité la vulnérabilité et lancé une attaque de la chaîne d'approvisionnement contre les utilisateurs de Moveit», explique la firme de cybersécurité israélienne dans un article daté du 14 juin. Ces cybercriminels se sont donc servis de la faille pour voler les fichiers que les utilisateurs, principalement des entreprises, importent dans le programme, explique le NSCS dans son annonce. Clop exige ensuite un paiement pour éviter que les données ne soient rendues publiques.
Pour ne rien arranger, Progress a communiqué, les 9 et 15 juin, sur de nouvelles failles découvertes dans Moveit. Des patchs ont été rapidement livrés et, selon l’éditeur, ces deux autres vulnérabilités n'auraient pas été exploitées.
Des victimes en Suisse…
L’alerte du NCSC évoquait plusieurs organisations suisses ayant signalé la première faille. Un article de Watson mentionne l'assureur-maladie ÖKK, qui a confirmé, et l'exploitant de parcs de vacances Landal, entre autres actifs en Suisse. Le groupe Marti, basé à Moosseedorf (Berne), figure également sur la liste de victimes publiée par Clop sur le darknet.
…et de nombreuses dans le monde
De nombreuses autres entreprises à l’échelle mondiale sont touchées. Le fournisseur britannique de solutions des rémunérations Zellis a été le premier à confirmer, indique Checkpoint. Selon CRN, PricewaterhouseCoopers (PwC) et Ernst & Young (EY) ont confirmé être concernés. Le média spécialisé mentionne aussi Schneider Electric comme victime potentielle (l'entreprise utilise la solution et, à l'heure de publier ces lignes, cherche à savoir si elle est touchée).
«En outre, certaines entreprises ont été citées comme victimes présumées sur le site de Clop, mais n'ont pas encore fait de commentaires publics, comme Nuance, propriété de Microsoft, Sony et le géant Cognizant», indique CRN. Qui a en outre informé que la liste des victimes comprend aussi Extreme Networks et NortonLifeLock.
Le site American Banker rapporte que dix banques américaines sont des victimes présumées. De son côté, Techcrunch mentionne Shell ainsi que des universités et agences fédérales US, tandis que la BBC liste British Airways parmi les entreprises concernées.
