Une vieille version de TeamViewer utilisée pour des attaques

Dans un billet de blog, Trend Micro indique avoir observé en ligne des packages d’installation du client TeamViewer transformé en cheval de Troie. Ils ont été « utilisés dans le cadre d’une campagne de pourriel pour permettre à des attaquants d’accéder à distance à divers systèmes ». Cette campagne s’est appuyée sur des versions anciennes du logiciel de travail collaboratif, mais Trend Micro « n’exclue pas la possibilité d’autres attaques utilisant des versions plus récentes ».

Depuis quelques semaines, de nombreux utilisateurs de TeamViewer font état d’attaques sur leurs ordinateurs. Dans leurs témoignages, ils évoquent des prises de contrôle à distance, parfois détectées en direct, le curseur de la souris se déplaçant sous leurs yeux à leur insu, comme a pu en faire l’expérience Nick Bradley de la division X-Force d’IBM.

Mais les attaques ne se sont pas arrêtées là : des comptes PayPal ont été utilisés frauduleusement, avec des pertes se comptant parfois en centaines voire milliers de dollars.

Initialement, TeamViewer a blâmé une utilisation « sans précaution d’identifiants » identiques « sur plusieurs comptes de services en ligne ». Et de nombreux témoignages pointent en effet dans cette direction, avec la possibilité que l’identifiant ait été compromis sur un autre service.

Les observations de Tend Micro ne contredisent pas cette hypothèse, mais ouvrent de nouvelles pistes.

TeamViewer n’est toutefois pas resté les bras croisés. Début juin, il a annoncé la mise en place d’une fonctionnalité visant à prévenir l’utilisation d’un compte existant à partir de terminaux suspects : « la fonction Trusted Device garantit que lorsque l’on tente d’utiliser votre compte TeamViewer depuis un nouvel appareil pour la première fois, il vous sera demandé de confirmer que cet appareil a votre confiance ».

Ce n’est pas tout : TeamViewer a mis en place un système de détection d’anomalies dans les activités de ses utilisateurs. « Ce système détermine en continu si votre compte présente un comportement inhabituel (par exemple, accès depuis un nouvel endroit) qui pourrait suggérer une compromission ». Et dans le cas où cela se produirait, l’utilisateur devrait impérativement réinitialiser son mot de passe.