Négligences sur Github: des centaines de milliers d'ordinateurs Asus piratés
Des pirates ont pu installer une porte dérobée dans des centaines de milliers d’ordinateurs Asus. Une attaque qui trouve probablement son origine dans l’accès au réseau interne du fabricant via des mots de passe exposés à la vue de tous sur Github.
L’update d’Asus était corrompu. Live Update, le logiciel intégré aux notebooks Asus pour maintenir les pilotes et firmwares à jour, a permis à des pirates d’installer une porte dérobée dans des centaines de milliers d’ordinateurs. Les pirates se sont peut-être servis de mots de passe dénichés sur Github (propriété de Microsoft) pour infiltrer les systèmes d’Asus.
A l’origine de la découverte de cette attaque de type Menaces Persistantes Avancées (APT), Kaspersky Lab a informé le fabricant le 31 janvier dernier. Asus a publiquement confirmé l'attaque, précisant avoir corrigé la dernière version de Live Update et pris plusieurs mesures, notamment en introduisant dans ce logiciel «de multiples mécanismes de vérification sécuritaire empêchant toute manipulation malveillante sous la forme de mises à jour logicielles ou autre».
Kaspersky décrit ce piratage comme une attaque très sophistiquée ciblant la chaîne d'approvisionnement. La complexité de l'attaque suggère qu’elle a été perpétrée pour le compte d'un Etat. «Ces attaques cooptent les mécanismes mêmes dont nous avons besoin pour assurer notre sécurité. De plus, le caractère international de notre industrie entraîne un éventail de vulnérabilités qui sont très difficiles à protéger», analyse l'expert en sécurité Bruce Schneier (qui a tout récemment accordé une interview à notre rédaction).
Accès facilité à un compte mail interne
Les mises à jour corrompues étaient signées avec un certificat émis par Asus et hébergées sur les serveurs de téléchargement de l'entreprise. Un détail qui suggère que les attaquants ont eu accès au réseau interne du fabricant. Comment? Probablement via des mots de passe exposés à la vue de tous sur Github. Un chercheur en sécurité a en effet confié au site spécialisé Techcrunch avoir trouvé des mots de passe dans un répertoire du compte d’un employé du fabricant. Le chercheur a pu se servir d’un mot de passe pour accéder à un compte mail utilisé par les développeurs et les ingénieurs d’Asus. Les mots de passe du compte de messagerie sont resté exposés publiquement pendant au moins un an.
Cette attaque est un nouvel exemple du laxisme de certains employés d’entreprises de la tech, après la découverte des négligences de Facebook concernant la protection des mots de passe de ses membres (Ooops… Facebook oublie de chiffrer des centaines de millions de mots de passe).
