L’attaque avait été revendiquée le 28 mars par le groupe « ShinyHunters ». Quelques jours plus tard, la Commission européenne vient de lever le voile sur un instructif incident de sécurité ayant affecté la plateforme de son site web public hébergé sur un cloud d’Amazon. Comme le Cert-EU l’explique dans un article détaillé publié jeudi dernier, ce piratage avait été repéré le 24 mars dernier.
Ce jour-là, le Centre des opérations de cybersécurité de la Commission européenne reçoit une alerte. Une utilisation anormale des API Amazon suggère la compromission d’un compte, tandis qu’un trafic inhabituel est également repéré. Après investigations, le Cert-EU a pu retracer avec précisions les contours de la compromission, un retour sur expérience précieux car relativement complet.
La marque de Trivy
Tout avait commencé près d’une semaine plus tôt, le 19 mars. Ce jour-là, l’attaquant réussi à obtenir une clé lui ouvrant la voie au cloud d’Amazon. Le pirate tente aussitôt d’ouvrir d’autres accès, via l’outil TruffleHog, avant d’entamer des activités de reconnaissance, autant de portes d’entrées depuis fermées par la Commission.
Une chronologie qui coïncidence avec l’attaque contre Trivy, attribuée au mode opératoire « TeamPCP ». Mais ce n’est pas le seul élément qui suggère des liens entre ces deux attaques. La Commission européenne utilisait en effet sans le savoir une version compromise de Trivy. Bruxelles conseille d’ailleurs à tous les utilisateurs de Trivy de mettre à jour leur outil vers une version reconnue comme sûre.
La compromission de ce scanner de vulnérabilité open source avait eu des airs de jackpot pour les pirates. Ils avaient en effet collecter en cascade des données d’identification, relevait l’Anssi. Ce premier piratage avait commencé par la prise de contrôle d’un dépôt sur GitHhub, suivi par la compromission d’autres projets. Avec comme résultat, le déploiement d’infostealers, ces logiciels malveillants avides d’informations d’identification de toute sorte.
Analyse en cours
Parmi les victimes indirectes de Trivy, la Commission européenne donc. Bruxelles déplore ainsi le vol d’environ 92 giga-octets de données, des fichiers relatifs à des sites web hébergés par le service Europa, des entités internes et externes à l’Union.
Le Cert-EU relève qu’environ 52 000 fichiers concernent des e-mails. Même si la majorité de ces communications était des notifications automatisées, ces messages peuvent « peuvent contenir le contenu original soumis par l’utilisateur, ce qui présente un risque de divulgation de données personnelles ».
« L’analyse des bases de données liées aux sites web hébergés est en cours, avertit également le Cert-EU. Compte tenu du volume et de la complexité des données concernées, ce processus nécessite un temps considérable. » En clair, si les modalités de l’attaque ont pu être rapidement identifiées, il faudra encore du temps pour mesurer l’ampleur des dégâts.
Source:
www.zdnet.fr
