Grâce à cette faille de sécurité, des pirates ont volé des données à plusieurs gouvernements

Les membres du TAG, le groupe d'analyses des cyber-menaces de Google, ont détecté l'existence d'une faille de sécurité dans un service de messagerie utilisé par de nombreux gouvernements à travers le monde. Grâce à cette vulnérabilité, des attaquants ont été en mesure de voler des données de certains pays, comme la Grèce, la Tunisie ou la Moldavie. 

Alors que des pirates ont récemment exploité une faille dans Google Agenda pour voler les informations personnelles des utilisateurs, les membres du TAG (le groupe d'analyses des cyber-menaces de Google) viennent de faire une nouvelle découverte.

En ce jeudi 16 novembre 2023, les chercheurs en sécurité informatique du géant américain expliquent avoir découvert et participé à la correction d'une faille de sécurité particulièrement grave. En effet, grâce à cette vulnérabilité, des pirates sont parvenus à voler des données appartenant à plusieurs pays, notamment la Grèce, la Moldavie, la Tunisie, le Vietnam et le Pakistan.

Cette faille, référencée sous le nom de code CVE-2023-37580, affectait Zimbra Collaboration, un service de messagerie utilisé par plus de 1 000 organisations gouvernementales à travers le monde. D'après Google, cette vulnérabilité permettait de voler des données de messagerie, les identifiants et mots de passe des utilisateurs et les jetons d'authentification des organisations.

A lire également : Gare aux arnaques durant le Black Friday, 50 % des sites marchands ne protègent pas leurs clients

Une affaire qui rappelle l'importance des mises à jour

Tout a commencé vers la fin juin 2023 en Grèce, lorsque des attaquants ont exploité cette faille pour envoyer des mails vérolés à certains membres des autorités grecques. Si quelqu'un cliquait sur le lien malveillant alors qu'il était connecté à son compte Zimbra, les données précédemment citées étaient automatiquement transmises aux pirates. Par ailleurs, les attaquants en profitaient pour mettre un place un transfert automatique et prendre possession de l'adresse mail visée.

Quelques jours plus tard, Zimbra a bien réagi en publiant sur Github un correctif pour cette faille. Malheureusement, les attaques ont continué, ce qui suggère que les gouvernements concernés n'ont pas installé la mise à jour à temps pour se protéger. “Ces campagnes mettent également en évidence la manière dont les attaquants surveillent les référentiels open source pour exploiter de manière opportuniste les vulnérabilités présentes dans des logiciels, spécifiquement quand un correctif est référencé sur une plateforme, mais pas encore accessible aux utilisateurs”, explique la TAG dans un article de blog.

Source : Blog Google TAG