Citrix victime d'une importante fuite de données sensibles

Le 6 mars 2019, le FBI a informé Citrix, une entreprise américaine fournissant des produits de virtualisation, de mise en réseaux et d’informatique en nuage (cloud computing) qu’elle a fait l'objet d’une importante fuite de données. Parmi les clients de Citrix, on compte 99 % des entreprises du Fortune Global 500, l’armée américaine, le FBI et 200 000 PME. Les attaquants ont pu ainsi accéder à environ 6 To de données, dont des documents confidentiels. 

Une enquête a tout de suite débuté en collaboration avec le FBI pour comprendre le mode opératoire de l’attaque. Stan Black, le chef de la sécurité de Citrix a qualifié cette investigation de complexe, il assure cependant qu’aucun produit ou service Citrix n’a été compromis.  

L’enquête a fait le rapprochement avec un groupe de hacker iranien au nom d’Iridium, expert dans les attaques gouvernementales. La brèche dans le réseau informatique de Citrix a permis aux pirates d’accéder à des communications privées avec des organismes gouvernementaux aux sujets de divers projets informatiques sensibles impliquant entre autre, le FBI, la NASA, la Maison Blanche, la Defense Information Systems Agency (DISA), a déclaré Charles Yoo président de Resecurity.

Les attaquants ont utilisé une tactique de « password spraying », afin de casser la double authentification aux applications. Les attaques de ce type consistent à tester une série limitée de mots de passe sur un ensemble de comptes, pour, à l’inverse d’une tentative par « force brute », rester discret et ne pas déclencher des alertes ou des blocages des comptes. Ainsi, les comptes de nombreux utilisateurs ont été compromis pour permettre le vol de fichiers. Selon Charles Yoo, il y a des raisons de penser qu’Iridium s’est introduit dans le réseau depuis plusieurs années maintenant.

En décembre 2018, Citrix a réinitialisé les mots de passe de certains utilisateurs du service Citrix ShareFile après avoir détecté une attaque de bourrage des informations d’identification contre ses clients. Cependant, cette attaque n’aurait pas de lien avec l’atteinte à la protection des données commises aujourd’hui.