Le piratage d’AnyDesk n’est pas lié à un ransomware : voici les dernières informations !

Fin janvier, AnyDesk a été victime d'une cyberattaque lors de laquelle les pirates sont parvenus à compromettre l'infrastructure de production de l'éditeur. Voici les dernières informations publiées par AnyDesk !

Pour rappel, AnyDesk est une solution de prise en main à distance populaire, et il s'agit d'une alternative à une autre solution encore plus populaire : TeamViewer. Aux alentours du 29 janvier 2024, des pirates sont parvenus à s'introduire sur les serveurs de production d'AnyDesk et ils ont pu voler des informations sensibles, notamment du code source et des certificats de signature de code.

• Cyberattaque AnyDesk : des pirates ont compromis les serveurs de production !

La recommandation : utiliser une nouvelle version d'AnyDesk

À la suite de cet incident, AnyDesk a recommandé à ses clients d'utiliser par précaution la dernière version du logiciel, à savoir la version 8.0.8 (pour Windows) puisqu'elle a été signée avec un nouveau certificat de signature de code qui n'est pas en possession des pirates.

Il y a quelques heures, et grâce à l'enquête réalisée en collaboration avec les experts de CrowdStrike, AnyDesk a mis en ligne des informations supplémentaires. L'éditeur allemand recommande toujours l'utilisation des versions 7.0.15 et 8.0.8, qui sont les dernières à ce jour, tout en rappelant que "toutes les versions d'AnyDesk obtenues à partir de nos sources officielles peuvent être utilisées en toute sécurité."

Réinitialisation des mots de passe du portail AnyDesk

AnyDesk a également forcé la réinitialisation de tous les mots de passe associés au portail client "my.anydesk.com", même s'il s'agit avant tout d'une décision prise "par prudence" d'après l'éditeur. Désormais, vous devez définir un nouveau mot de passe pour accéder à votre compte AnyDesk.

Dans le cas où vous utiliseriez ce même mot de passe pour d'autres services, il est recommandé de le changer également sur les services en question.

Un impact sur les serveurs relais d'Espagne et du Portugal

Dans une FAQ publiée sur le site officiel et associée à cet incident de sécurité, AnyDesk affirme qu'il ne s'agit pas d'une attaque de ransomware. Pour autant, le nom du groupe de cybercriminels reste inconnu à ce jour (mais AnyDesk détient peut être l'information en interne).

De plus, l'éditeur précise que des serveurs relais européens sont directement affectés par cette attaque. "Seuls deux de ces serveurs relais en Europe ont été touchés par l'incident.", peut-on lire.

Ces serveurs relais permettent d'assurer la connexion avec les clients AnyDesk déployés sur les appareils, mais toutes les informations de sécurité (jetons, clés privées, etc.) sont stockées uniquement sur les appareils.

Nous apprenons ensuite que les deux serveurs en question sont sollicités par les utilisateurs situés en Espagne et au Portugal. "Les clients des pays qui se connectent via des serveurs relais en dehors de l'Europe (par exemple, les États-Unis, l'Asie, l'Afrique, l'Australie, l'Amérique du Sud) et en dehors de la zone de localisation affectée de ces deux serveurs (c'est-à-dire l'Espagne et le Portugal) ne sont pas non plus concernés.", précise AnyDesk.

Enfin, AnyDesk précise que le code source de l'application est sain et qu'il n'a pas été altéré par les pirates pour distribuer un logiciel malveillant. "Nous avons examiné notre code et n'avons constaté aucune modification malveillante.", ce qui est plutôt rassurant.

L'enquête d'AnyDesk se poursuit donc il y aura peut être d'autres informations disponibles dans les prochains jours.

Florian BURNEL Co-founder of IT-Connect

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

See Full Bio