Le Français Shadow victime d’une cyberattaque

Il est presque 19h, le 25 septembre, lorsque l’alerte est donnée sur le serveur Discord de Shadow, le fournisseur français de PC en mode cloud : « une fausse annonce sur la création d’un jeu a été postée. Si vous avez cliqué sur le lien et téléchargé des fichiers, nous vous recommandons de changer immédiatement vos mots de passe depuis un autre appareil et de réinitialiser votre Shadow/PC pour des raisons de sécurité ». Mais il semble bien qu’un collaborateur de Shadow avait eu le temps de tomber dans le piège.

Car ce mercredi 11 octobre, Eric Sèle, directeur général de Shadow, signe un e-mail adressé aux clients de l’entreprise : « à la fin du mois de septembre, nous avons été la victime d’une attaque de type ingénierie sociale ciblant un de nos employés. Cette hautement sophistiquée a débuté sur la plateforme Discord par le téléchargement d’un malware sous couverture d’un jeu sur la plateforme Steam, proposé par une connaissance de notre employé, elle-même victime de cette attaque ». 

En somme : une personne a été victime d’un maliciel et ses identifiants ont été détournés afin de le propager à d’autres personnes. L’appât ? Un prétendu jeu Steam. Le maliciel ? En toute vraisemblance, un infostealer. 

De fait, peut-on lire, « l’attaquant a pu exploiter l’un des cookies dérobés pour se connecter à l’interface de gestion d’un de nos fournisseurs SaaS ». Et cela, malgré « les actions nécessaires » prises par l’équipe de sécurité de Shadow. 

Fort du cookie dérobé – impliquant que l’utilisateur compromis n’avait pas fermé sa session sur l’interface de gestion du fournisseur SaaS en question –, « l’attaquant a su extraire, via l’API [de l’application SaaS], certaines informations privées » des clients de Shadow. Celles-ci sont : « votre nom, prénoms, et email, votre date de naissance, l’adresse de facturation et la date d’expiration de votre carte bancaire ». Aucune autre donnée bancaire n’est concernée. 

Certains commentaires glanés sur Twitter suggèrent le recours à un bot, usurpant le nom et la photo de profil d’un administrateur du serveur Discord, pour diffuser la fausse annonce évoquée plus haut. 

Sollicité sur ce point, ainsi que sur l’éventuelle implication d’un infostealer (voire duquel), le service de presse de Shadow n’a pas apporté de réponse, à l’heure où ces lignes sont publiées. Il s’est contenté de répéter que « nous avons récemment été la victime d’une malveillance de type ingénierie sociale hautement sophistiquée qui a mené à l’exfiltration de la base de données d’un de nos prestataires. Celle-ci a conduit à l’exposition non autorisée de certaines données de nos clients ».

Et d’ajouter que « nous avons depuis pris des mesures immédiates pour sécuriser nos systèmes, incluant le renforcement des protocoles de sécurité que nous appliquons avec l’ensemble de nos prestataires ». Tout en soulignant « qu’aucun mot de passe ni aucune donnée financière n’ont été compromis ». 

Le 11 octobre dans la soirée, un utilisateur d'un forum notamment fréquenté par des cybercriminels a proposé à la vente ce qu'il présente comme les données de 533 624 personnes disposant d'un compte chez Shadow, au format JSON, et pour un volume total de 879 Mo. Suggérant ce qui ressemble à une tentative d'extorsion, il indique avoir « décidé de mettre la base de données en vente », après « une tentative de règlement amiable, qu'ils ont délibérément ignorée ».

Pour mémoire, les infostealers sont des logiciels malveillants qui, à leur exécution, collectent les données d’authentification stockées dans les navigateurs installés sur la machine compromise, ainsi que les jetons d’authentification et autres cookies de session, avant de les transmettre à leur opérateur. 

Conçus pour échapper à la détection ou empaquetés pour le faire, ces maliciels s’avèrent généralement redoutablement furtifs. Et malheureusement, lorsqu’ils obtiennent l’accès à des cookies de session non fermée manuellement ou à des jetons d’authentification valides, ils peuvent permettre à un attaquant de contourner l’authentification à facteurs multiples (MFA).

Les dernières observations, publiées dans nos colonnes mi-septembre, laissent entrevoir une menace qui reste marquée, même si l’explosion pourrait être passée.