Cyber-Intrusion : Citrix n’est pas un cordonnier si mal chaussé

Comme pour éviter de laisser sa grand messe annuelle, qui vient d’ouvrir à Atlanta, Citrix vient de publier un nouveau rapport d’étape concernant l’enquête en cours sur l’intrusion dont il a été victime entre la mi-octobre 2018 et le début du mois de mars 2019.

Dans celui-ci, Citrix explique travailler avec les équipes Mandiant de FireEye : l’enquête a déjà permis d’établir, à ce stade, que l’incident est contenu et que les assaillants ont été boutés hors des systèmes compromis. L’éditeur révèle également que les attaquants ont pu détourner des comptes utilisateurs par pulvérisation de mots de passe. En conséquence, « nous avons procédé à une réinitialisation de mot de passe, et amélioré notre gestion interne des mots de passe ».

Citrix assure que rien n’indique que les assaillants aient découvert ou exploité des vulnérabilités dans ses produits ou services, ni qu’un produit ou service cloud ait été compromis. En fait, selon l’éditeur, les cyber-délinquants « ont principalement volé des documents et fichiers commerciaux sur un volume réseau partagé qui a été utilisé pour stocker des documents commerciaux historiques et actuels, ainsi qu’un disque associé à un outil Web utilisé pour nos activités de conseil ».

Citrix indique en outre que les assaillants sont également susceptibles d’avoir « accédé à des disques virtuels et des comptes de messagerie d’entreprise individuels, d’un nombre très limité d’utilisateurs compromis », avant de lancer « sans exploitation supplémentaire, à un nombre limité d’applications internes ».

La situation ne manque toutefois pas d’une certaine ironie, alors que Citrix joue la carte de l’intégration avec Citrix Analytics pour permettre à des partenaires d’offrir des capacités d’authentification adaptative.

Interrogé sur le sujet, Jeroen van Rotterdam, vice-président exécutif de Citrix en charge de l’ingénierie, reconnaît que les systèmes compromis n’avaient tout simplement « pas les bonnes mesures de sécurité ». Pour lui, toutefois, l’attaque ne s’est pas limitée à la simple pulvérisation de mots de passe et il y avait « quelque chose de plus sophistiqué » en jeu. Mais indique-t-il, « je ne peux pas révéler cela ».

Surtout, Jeroen van Rotterdam l’assure, « nous mettons en œuvre [les concepts d’architecture] sans confiance en interne ». Mais là, pas de chance, les assaillants « sont entrés dans une partie d’un système IT ancien, qui était isolé. Bien sûr, nous aurions dû appliquer l’authentification à facteurs multiples sur ce système – sinon mieux encore, l’arrêter ; c’est même la meilleure protection ». Mais en somme, ce qui a valu pour ce système compromis ne vaut pas, et loin de là, selon Jeroen van Rotterdam, pour le reste de l’infrastructure de Citrix.