AccueilActualités informatiqueCroix-Rouge : une cyberattaque ciblée a eu lieu via une faille de...

Croix-Rouge : une cyberattaque ciblée a eu lieu via une faille de sécurité non corrigée

La cyberattaque contre le Comité international de la Croix-Rouge (CICR) était une action ciblée, exploitant une faille de sécurité non corrigée dans un système d’authentification unique. L’organisation vient de rendre publiques ces informations ainsi que d’autres informations techniques sur l’attaque. Selon l’organisation, un morceau de code source du logiciel d’attaque découvert fait explicitement référence à l’un des serveurs de l’organisation – et plus précisément à son adresse MAC. En outre, les pirates inconnus auraient utilisé des outils sophistiqués spécialement conçus pour les cyberattaques, principalement utilisés par des acteurs étatiques ou soutenus par l’État. L’attaque a été découverte 70 jours après l’intrusion.

Les attaquants ont exploité la faille de sécurité portant la désignation CVE-2021-40539, explique désormais le CICR. Il s’agit d’une faille critique dans le système d’authentification unique de l’entreprise indienne de logiciels Zoho, pour laquelle un patch est disponible depuis la mi-septembre. Mais « malheureusement », celui-ci n’a pas été mis en place à temps. Un mois et demi plus tard, le 9 novembre, les pirates se seraient introduits dans le réseau en exploitant la faille et se seraient ensuite déguisés en utilisateurs légitimes. Ils auraient ainsi pu accéder aux données cryptées.

Pour dissimuler leurs activités, ils auraient utilisé des techniques sophistiquées dont peu d’acteurs disposent. Les logiciels antivirus auraient certes bloqué certains de leurs fichiers, mais la plupart seraient restés indétectables jusqu’à l’installation de nouvelles techniques. L’organisation genevoise collabore avec le Centre national de cybersécurité (NCSC) de Suisse dans le cadre de l’enquête sur l’attaque. Les Sociétés nationales du Mouvement de la Croix-Rouge et du Croissant-Rouge, indépendantes du CICR et dont le comité coordonne les travaux, seraient en contact avec les autorités nationales respectives.

Le CICR a découvert l’attaque le 18 janvier et l’a rendue publique un jour plus tard. Les auteurs inconnus ont eu accès aux données de plus de 500 000 personnes particulièrement vulnérables, séparées de leurs proches par des conflits, la fuite ou des catastrophes naturelles. Des dizaines de Sociétés de la Croix-Rouge et du Croissant-Rouge du monde entier les ont rassemblées afin d’aider à la réunification des familles. Le communiqué précise à présent que le CICR ne spéculera pas sur l’identité des personnes à l’origine de cette initiative. Il n’a pas été contacté à ce sujet. Il faut partir du principe que les données ont été récupérées, mais jusqu’à présent, il n’y a aucun indice de publication. L’organisation continue d’appeler les responsables à ne pas transmettre, vendre ou utiliser les données d’une autre manière.

Plus d'articles