TeamViewer : des piratages, des enseignements et des incertitudes

Intérêt de la double authentification, risques associés à la mise en place de sessions administrateur sur des ordinateurs partagés, ainsi qu’à l’utilisation du même mot de passe sur plusieurs services en ligne et de son éventuel enregistrement dans les navigateurs Web… Le cas TeamViewer soulève bien des questions.

L’éditeur éponyme de cette solution de contrôle distant et de réunions en ligne doit faire face à une vague de piratage dirigée contre ses utilisateurs.

Les premières alertes ont émergé il y deux semaines environ. Il était question d’une attaque de type « Man-in-the-Middle » ayant exposé de nombreux comptes.

TeamViewer avait réagi en réfutant toute faille de sécurité : si problème il y avait, il était lié aux « négligences » de certains utilisateurs en matière de définition et de gestion de leurs mots de passe.

Un fil conducteur

Ces derniers jours, un sujet dédié est remonté sur reddit. En examinant les témoignages des uns et des autres, ainsi que les quelques fichiers de logs fournis (tel celui-ci), on peut reconstituer au moins une partie du puzzle.

L’attaque semble notamment fondée sur le cheval de Troie TrojanSpy.Teamspy, découvert il y a plusieurs années, mais qui, selon la base VirusTotal, passe encore entre les mailles des filets de beaucoup d’antivirus – on consultera, en complément, un rapport de Kaspersky Lab sur ce sujet.

Ce cheval de Troie n’est injecté qu’une fois que les pirates se sont connectés à la machine ciblée, via TeamViewer. Il aide à récupérer des mots de passes associés essentiellement à des sites e-commerce et à des services de paiement électronique.

La première étape est souvent une tentative de se connecter au compte PayPal de la victime.

Que la démarche soit ou non couronnée de succès, les assaillants se concentrent ensuite généralement sur eBay et Amazon. Ils y achètent tout particulièrement des cartes-cadeaux qu’ils font expédier vers des adresses sur toute la planète. Mais d’aucuns évoquent aussi des codes pour des jeux en ligne, du matériel informatique, voire de l’électroménager.

En fonction des témoignages, d’autres services en ligne sont mentionnés. Illustration avec cet internaute qui déplore un accès non autorisé à sa messagerie électronique et la suppression de plusieurs messages.

Très sollicité ces derniers jours, PayPal n’a pas répondu favorablement à toutes les demandes de remboursement, ses systèmes ne considérant pas certaines transactions comme frauduleuses.

Le témoignage de Nick Bradley, directeur du groupe de recherche en cybersécurité X-Force chez IBM, est édifiant : en pleine session de jeu, l’intéressé a vu surgir une fenêtre TeamViewer. Assistant en direct au piratage de sa machine, il a pu révoquer les accès au moment où un tiers distant tentait d’ouvrir une page Web. Il a pu in extremis se connecter sur son panneau d’administration pour changer son mot de passe et active la double authentification.

Du neuf avec de l’ancien ?

Du côté de TeamViewer, on maintient que toute activité malveillante n’est pas due à une brèche et que les travaux se poursuivent pour « offrir aux utilisateurs un niveau maximal de protection ».

Sur ce point, l’éditeur allemand fait référence au lancement des programmes « Trusted Devices » et « Data Integrity ». Le premier consiste à demander systématiquement l’autorisation d’un appareil sur lequel un compte se connecte pour la première fois. Le deuxième vise à réinitialiser immédiatement le mot de passe en cas d’activité suspecte.

D’après TeamViewer, il est possible que les mots de passe utilisés par les pirates pour lancer des sessions de contrôle distant soient issus des hacks médiatisés ces dernières semaines (LinkedIn et MySpace en tête de liste).

Problème : certains des utilisateurs touchés assurent que leur mot de passe n’était utilisé sur aucun autre service en ligne. Sur la liste des victimes figurent même des internautes qui affirment avoir généré leur mot de passe aléatoirement, avec un gestionnaire logiciel.

Crédit photo : Balefire – Shutterstock.com