Intrusion : Citrix confirme un incident remontant à l’automne dernier

Début mars, Citrix faisait état d’une intrusion dans son système d’information. A l’époque, l’éditeur (spécialiste des environnements de travail numériques) indiquait, dans un billet de blog, que l’incident lui avait été signalé par le FBI. Mais il ne disait rien sur le temps dont les attaquants avaient pu profiter pour fureter dans son infrastructure.

Aujourd’hui, Citrix est plus disert. Dans une notification imposée par la législation en vigueur en Californie, l’éditeur explique « croire actuellement » que ses assaillants « ont eu un accès intermittent à [son] réseau entre le 13 octobre 2018 et le 8 mars 2019 ». Soit un peu moins de cinq mois. Un laps de temps assez proche de la médiane avancée par FireEye/Mandiant dans l’édition 2019 de son rapport M-Trends : selon ce dernier, le temps de séjour médian des attaquants dans une infrastructure dont la compromission est découverte par un tiers était de 137 jours, en Amérique du Nord, l’an dernier.

En mars dernier, Citrix indiquait que des documents commerciaux « pourraient » avoir été consultés et téléchargés. Aujourd’hui, l’éditeur n’évoque pas ce point, mais reconnaît que des fichiers ont été dérobés, lesquels pourraient « contenir des informations sur nos employés actuels et passés et, dans des cas limités, des informations sur des bénéficiaires et / ou personnes à charge ». Il pourrait s’agir, « par exemple, de noms, numéros de sécurité sociale, et informations financières ».

Des mesures de protection de l’identité et contre la fraude ont été mises en place par l’éditeur, à charge pour les personnes concernées d’activer ces mesures d’ici à la fin août.

Citrix indique que son enquête interne est toujours en cours et qu’il a pris des mesures pour bouter les cyber-délinquants hors de son système d’information. Prudent, il se garde bien d’affirmer que l’affaire est complètement close et indique « surveiller d’éventuels signes d’activité » malicieuse. Et cela même si, plus loin, Citrix indique qu’il n’y a pas d’élément indiquant que les assaillants pourraient encore avoir accès à son système d’information.

L’éditeur explique également « avoir pris des mesures pour traiter les problèmes qui pourraient avoir contribué à cette situation », sans s’épancher sur le vecteur de compromission initiale. En mars dernier, c’est la piste de mots de passe peu robustes qui était avancée.

Citrix assure équiper plus de 400 000 organisations, dont 99 % de celles figurant au classement Fortune 100, et 98 % du Fortune 500. Des entreprises certainement à même d’intéresser un large éventail d’attaquants aux motivations très variées. A l’intention de ses clients, l’éditeur indique « ne pas avoir trouvé d’indication que la sécurité de produits ou services Citrix aurait été compromise ».