La société TeamViewer a annoncé vendredi 28 juin avoir détecté une intrusion informatique attribuée à APT29, une unité des services de renseignement étrangers russes régulièrement identifiée dans des opérations d’espionnage très sophistiquées.
Le communiqué de presse de l’entreprise, qui avait annoncé la veille avoir identifié des « irrégularités » dans son système, inquiète fortement les experts. TeamViewer est connu pour commercialiser des outils d’accès à distance très appréciés dans le monde entier, utilisés par exemple pour partager le contrôle d’un ordinateur lors d’un dépannage. TeamViewer estime pour l’instant que l’attaque s’est limitée à une partie du réseau et que les pirates n’ont pas réussi à accéder aux données des clients ni à l’infrastructure relative aux produits développés par l’entreprise. Une nouvelle communication est attendue d’ici la fin de soirée (heure française).
L’entreprise affirme que cette attaque a débuté le 26 juin et a utilisé les identifiants d’un employé, un point d’entrée très classique dans les cas d’intrusion informatique dans un réseau d’entreprise. Une alerte avait été lancée le 27 juin par la société spécialisée en sécurité informatique NCC Group, qui affirmait avoir reçu des informations indiquant une compromission de TeamViewer par APT29.
Le développeur allemand, qui compte des centaines de milliers de clients à travers le monde, représente une cible de choix pour les groupes spécialisés dans l’espionnage. Son logiciel largement diffusé, s’il venait à être compromis ou modifié, constituerait une passerelle idéale pour prendre le contrôle d’autres réseaux. Ces attaques appelées « chaîne d’approvisionnement »parce qu’ils ciblent les prestataires de services qui approvisionnent les entreprises mais aussi les institutions du monde entier, constituent aujourd’hui l’une des principales menaces en termes d’espionnage et de cybercriminalité.
Un acteur spécialisé dans l’espionnage
Le groupe APT 29 est l’un des principaux acteurs impliqués dans les opérations de cyberespionnage russes. Le 19 juin, l’Agence nationale de la sécurité des systèmes d’information (Anssi) a publié un rapport détaillant comment ce groupe, également appelé Nobelium, avait ciblé de nombreux diplomates français depuis 2021. L’ambassade de France à Kiev a notamment été visée par un e-mail contenant une pièce jointe corrompue. .
APT29 a également déjà été distingué par des attaques du type de celles qui ont touché TeamViewer. « Ils attaquent ces nouvelles entreprises technologiques pour atteindre leurs clients et espèrent trouver des informations qui alimenteront la stratégie du Kremlin »a déclaré John Hultquist, analyste en chef du cabinet spécialisé Mandiant, dans un communiqué envoyé à Monde. Ainsi, une attaque extrêmement sophistiquée révélée en 2020 a ciblé la société de développement informatique SolarWinds, vendant ses outils à des entreprises et institutions du monde entier. Les pirates d’APT29 ont réussi à installer une porte dérobée dans un logiciel commercialisé par l’entreprise leur permettant d’espionner les clients concernés.
