L’éditeur allemand de logiciels AnyDesk, permettant à ses utilisateurs d’accéder à des ordinateurs à distance, notamment pour de l’assistance ou du dépannage informatique en entreprise, a révélé, vendredi 2 janvier, avoir subi une cyberattaque compromettant ses systèmes de production. Lors de l’opération, les pirates ont pu avoir accès aux systèmes de production, ont volé le code source ainsi que des clés privées de signature de code. La connexion au portail web my.anydesk avait été désactivée du 29 janvier au 1er février pour des “opérations de maintenance”.
170 000 clients… dont Samsung, Nvidia, Siemens et Thales
Dans un communiqué publié sur son site, AnyDesk affirme qu’il ne s’agit pas d’un ransomware, et n’a donné de détails ni sur la manière de piratage des systèmes de production, ni sur le vol d’informations, ni sur le détournement de session. L’entreprise assure qu’elle a “immédiatement enclenché un plan de remédiation et de réponse”, en collaboration avec des experts en cybersécurité.
La société affirme avoir révisé tous ses certificats de sécurité et avoir commencé à remplacer l’ancien certificat de signature de code. “Nos systèmes sont conçus pour ne pas stocker de clés privées, de jetons de sécurité ou de mots de passe pouvant être exploités pour se connecter aux appareils des utilisateurs, poursuit l’entreprise. Par mesure de précaution, nous révoquons tous les mots de passe de notre portail web.” AnyDesk compte 170 000 clients, parmi lesquels Samsung, LG Electronics, le MIT, Nvidia, Siemens, Thales ou même l’ONU.
Entre 18 000 et 30 000 comptes mis en vente
La situation a pris une autre tournure le 4 février, avec la publication d’un billet sur le site de la société de cybersécurité Resecurity. Ses chercheurs ont identifié au moins deux hackers revendant les identifiants de comptes AnyDesk sur le dark web. Une mise en vente toutefois distincte de la faille de sécurité de vendredi, les identifiants compromis résultant d’un malware infostealer, qui fouille l’ordinateur avant de transmettre les données aux pirates.
L’un de ces hackers, connecté sous le pseudo “Jobaaaaa”, a listé, sur le forum russophone du dark web exploit[.]in, plus de 18 000 identifiants AnyDesk à vendre. Un chiffre qui pourrait monter à 30 000, selon d’autres chercheurs. Des informations d’identification compromises appartenant à différents clients et entreprises, et donnant accès au portail client AnyDesk, ont été volées. Pour ces 18 317 comptes, le pirate a proposé 15 000 dollars, à payer en cryptomonnaie Bitcoin ou Monero.
Les chercheurs de Resecurity ont identifié une menace supplémentaire, liée à l’horodatage des cas d’accès non-autorisés. Ces accès sont établis au 3 février, soit après la révélation de la faille de sécurité. Autrement dit, sans modification du mot de passe par les particuliers ou entreprises, les conséquences de ce vol de données pourraient être considérables. Les utilisateurs dont les comptes ont été volés s’exposent de fait à des transactions frauduleuses, du vol et de la vente de données conduisant à une usurpation d’identité, mais aussi à un futur ransomware, en cas de chiffrement des données volées.
Les solutions de prise en main à distance d’ordinateurs sont particulièrement ciblées par les hackers. Dans un rapport publié le 17 janvier par la société de cybersécurité Huntress, des chercheurs ont identifié deux intrusions dans deux réseaux d’entreprise, après l’utilisation par des acteurs malveillants du logiciel TeamViewer.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
