Piratage de TeamViewer : tout ce que vous devez savoir
De graves accusations de piratage ont émergé cette semaine pour le très populaire outil d’accès à distance TeamViewer. Les rapports, qui ont commencé fin mai, indiquent en grande partie une attaque de type « man-in-the-middle » qui a exposé les comptes personnels des utilisateurs de TeamViewer.
Au milieu de nombreux rapports faisant état de comptes bancaires et PayPal vidés ou utilisés pour effectuer des achats non autorisés, TeamViewer soutient que toute activité frauduleuse ou malveillante pourrait être la faute de l’utilisateur. Au milieu du chaos, TeamViewer a pris le temps de publier de nouvelles fonctionnalités conçues pour améliorer la protection des données des utilisateurs, et je suis sûr que ces centimes comptant leurs absences ne perdront pas leur ironie.
Qu’est-il arrivé à TeamViewer ? Est-ce juste une coïncidence si tant de comptes semblent être touchés en même temps ? Les détails du compte des utilisateurs ont-ils été compromis lors d’une autre violation, et ces informations d’identification sont maintenant utilisées contre eux ? Ou y a t il quelque chose d’autre?
« La protection de vos données personnelles est au cœur de tout ce que nous faisons » – mais se protègent-ils d’abord ? Vérifions ce que nous savons.
que se passe-t-il?
TeamViewer s’est retrouvé parmi une base d’utilisateurs très en colère. Le barrage est lié à une faille de sécurité présumée qui existe quelque part dans le logiciel TeamViewer et qui permet à un criminel encore inconnu et sans nom d’accéder à des comptes d’utilisateurs individuels via une session à distance.
Faire une vidéo du jour
La grande majorité des utilisateurs affirment que leurs comptes ont été piratés. Une fois l’accès obtenu, le pirate parcourt une liste de cibles essayant de dépenser ou de transférer des fonds. Certains comptes couramment utilisés incluent :
- Pay Pal
- ebay
- Amazone
- Yahoo!
- Walmart
Certains utilisateurs ont déclaré avoir perdu des milliers de dollars, tandis que d’autres ont vu de nombreuses cartes-cadeaux électroniques envoyées dans le monde entier. Les articles achetés en ligne, souvent avec des noms d’expédition brouillés, sont envoyés dans le monde entier, de nombreux utilisateurs signalant des tentatives de connexion à partir d’adresses IP chinoises ou taïwanaises.
TeamViewer a ajouté de l’huile sur le feu lorsqu’il a connu une panne de service. Cela a été causé par une attaque par déni de service (DoS) visant à compromettre les serveurs DNS (Domain Name System) de l’entreprise, mais TeamViewer insiste sur le fait qu’il n’y a « aucune preuve » reliant l’attaque à des comptes d’utilisateurs infectés.
Sécurité du compte utilisateur
Un grand nombre de comptes ont été touchés, bien qu’il n’y ait certainement pas de chiffres fiables à rapporter. Cependant, il semble que la plupart des utilisateurs TeamViewer concernés n’utilisent pas l’authentification à deux facteurs. Cela dit, l’attaquant présumé semble avoir utilisé le bon mot de passe pour accéder au compte et lancer une session à distance. Alors que la connexion déclenche le processus 2FA, la connexion à distance ne le fait pas.
Certains utilisateurs utilisent activement leurs systèmes, remarquant qu’ils essaient de se connecter avec une session à distance et qu’ils peuvent annuler la demande. D’autres reviennent pour trouver une session à distance terminée, tandis que d’autres ne se rendent compte que lorsque leurs comptes de messagerie sont soudainement remplis de reçus d’achat d’eBay, d’Amazon et de PayPal.
Nick Bradley, responsable de la pratique pour le groupe de recherche sur les menaces d’IBM, détaille ses conclusions :
« Pendant que je jouais à un jeu, j’ai perdu le contrôle de ma souris et la fenêtre TeamViewer est apparue dans le coin inférieur droit de mon écran. Lorsque j’ai réalisé ce qui se passait, j’ai immédiatement fermé l’application. Puis j’ai soudainement réalisé : j’ai d’autres machines exécutant TeamViewer ! Je suis en bas et l’autre machine est toujours en cours d’exécution. Baissez la tête et la fenêtre TeamViewer apparaît. Avant que je puisse le tuer, l’attaquant ouvre une fenêtre de navigateur et essaie d’accéder à une nouvelle page Web. Dès que je Je suis arrivé à la machine, j’ai révoqué le contrôle et fermé l’application. Je suis immédiatement allé sur le site Web de TeamViewer et j’ai changé mon mot de passe, tout en activant l’authentification à deux facteurs. Heureusement, ce sont les deux seules machines sur lesquelles TeamViewer est installé. Le boîtier est toujours sous tension. . Heureusement pour moi, j’étais là quand c’est arrivé. Si je n’avais pas été là pour arrêter l’attaque, qui sait ce qui aurait été accompli. Au lieu de discuter de la façon dont j’ai failli me faire pirater, je parlerais de la gravité de l’implication que mes données personnelles ont été divulguées. »
réponse
La réponse de TeamViewer a été ferme et cohérente :
« TeamViewer n’a pas de failles de sécurité »
Voici la ligne de l’entreprise, reprise dans plusieurs déclarations de relations publiques publiées ces derniers jours (lien brisé supprimé) :
« TeamViewer a connu une panne de service le mercredi 1er juin 2016. La panne a été causée par une attaque par déni de service (DoS) contre l’infrastructure TeamViewer DNS-Server. TeamViewer a immédiatement réagi pour résoudre le problème afin de restaurer tous les services. Certains en ligne Les médias ont incorrectement lié l’incident aux affirmations passées des utilisateurs selon lesquelles leurs comptes ont été piratés et aux théories sur une éventuelle faille de sécurité dans TeamViewer. Nous n’avons aucune preuve que ces problèmes soient liés. La vérité est la suivante :
- TeamViewer a rencontré des problèmes de réseau et les a corrigés en raison d’une attaque DoS sur les serveurs DNS.
- TeamViewer n’a pas de failles de sécurité.
- Quel que soit l’événement, TeamViewer s’efforce en permanence d’assurer le plus haut niveau possible de protection des données et des utilisateurs. «
De plus, TeamViewer a retourné ses utilisateurs, affirmant que, puisqu’il n’y avait pas eu de violation de l’entreprise, les détails des utilisateurs avaient probablement été volés lors d’autres violations de données importantes récentes et utilisés pour se connecter aux comptes TeamViewer.
(lien brisé supprimé)
Appareils de confiance et intégrité des données
Au milieu des rumeurs tourbillonnantes, TeamViewer a annoncé le lancement (suppression des liens rompus) de son programme d’appareils de confiance et d’intégrité des données, « deux nouvelles fonctionnalités de sécurité pour améliorer encore la protection des données. » J’ai essayé de contacter TeamViewer pour déterminer si la fonctionnalité est pré-planifiée , ou une réponse directe au prétendu piratage, aucune réponse n’a encore été reçue.
Les appareils de confiance garantiront que la première tentative de connexion à un appareil donné rencontrera un défi d’autorisation avant d’accorder l’accès, tandis que l’intégrité des données forcera une réinitialisation immédiate du mot de passe si le compte montre une activité suspecte.
Cela nous fait…
Tout cela conduit à une confrontation très étrange entre les utilisateurs de TeamViewer et l’entreprise elle-même.
TeamViewer sait exactement ce qui ne va pas :
« La protection de vos données personnelles est au cœur de tout ce que nous faisons. Nous apprécions grandement la confiance que vous nous accordez et respectons notre responsabilité de protéger votre vie privée. C’est pourquoi il est toujours impératif que nous prenions toutes les mesures nécessaires pour Protégez votre vie privée. Protégez vos données. Vous avez peut-être entendu parler d’un vol de données à grande échelle sans précédent sur les plates-formes de médias sociaux populaires et d’autres fournisseurs de services Web. Malheureusement, les informations d’identification volées lors de ces violations externes ont été utilisées pour accéder aux comptes TeamViewer et à d’autres services. Nous sont consternés par les actions des cybercriminels et dégoûtés par leurs actions envers les utilisateurs de TeamViewer. Ils exploitent l’utilisation commune des mêmes informations de compte sur plusieurs services pour causer des dommages.
Un grand nombre de comptes volés et d’activités frauduleuses pourraient être à l’origine de la récente violation de données de MySpace. Lorsqu’ils sont combinés à d’autres violations importantes telles que les comptes ajoutés à la violation de LinkedIn et à la « vieille » violation d’Adobe d’il y a quelques années, il y a certainement de nombreuses informations d’identification d’utilisateur à gagner pour le plus offrant.
Mais cette explication n’élimine pas complètement la moutarde. Alors qu’un grand nombre d’utilisateurs ne suivent pas les meilleures pratiques de protection des données en utilisant 2FA et des mots de passe forts, aléatoires et à usage unique, il existe également un grand nombre d’utilisateurs – dont les comptes ont également été compromis. Encore une fois, de nombreux utilisateurs peuvent en effet avoir été compromis par une précédente violation de données et découvert une session à distance active, mais il existe également un grand nombre d’utilisateurs dont les détails sont privés.
Vérifiez votre compte
Si vous souhaitez vérifier immédiatement si votre compte a été consulté ou si quelqu’un d’autre que vous a tenté d’y accéder, rendez-vous sur le site Web TeamViewer Admin Console.Une fois connecté à votre compte, allez dans le coin supérieur droit et cliquez sur votre nom d’utilisateur, puis cliquez sur Editer le profil., puis sélectionnez Connexion activeCela répertoriera tous les appareils et emplacements qui ont accédé à votre compte au cours de l’année écoulée.
Vous pouvez également consulter les journaux TeamViewer pour toute activité non planifiée. Les journaux peuvent être trouvés ici :
- C:Program FilesTeamViewerTeamViewerXX_Logfile.txt
- C:Program FilesTeamViewerTeamViewerXX_Logfile_OLD.txt
Rendez-vous sur votre journal et lisez-le. Vérifiez les adresses IP irrégulières. Rechercher dans le journal « webbrowserpassview.exe » Si vous êtes frappé de plein fouet, immédiatement Changer tous les mots de passe.
Non, je ne plaisante pas. L’application affiche et exporte essentiellement tous les mots de passe de votre navigateur actuellement enregistrés dans un fichier texte simple facile à lire. Il contourne également le mot de passe principal défini dans Chrome et Firefox. Ce n’est pas un super outil de piratage. Il est accessible au public, mais peut être très dangereux entre de mauvaises mains.
Vous devez également vous rendre sur haveibeenpwned.com pour vérifier si votre compte a été compromis à votre insu.
Il est temps de prendre au sérieux la sécurité de TeamViewer
Si vous avez un compte TeamViewer, changez votre mot de passe et activez l’authentification à deux facteurs maintenant. Si vous n’êtes pas satisfait, désinstallez simplement TeamViewer jusqu’à ce que ce désastre soit terminé.
Vérifiez vos achats sur eBay, Amazon, PayPal et l’Apple Store, et examinez de près vos transactions de virement bancaire de la semaine dernière. En cas de problème, veuillez contacter directement le fournisseur, expliquer ce qui s’est passé et mentionner TeamViewer. Cela devrait aider vos transactions à revenir à la normale. Oh, et lisez certainement la liste détaillée des meilleures pratiques TeamViewer de l’utilisateur Redditor et TeamViewer chubbysumo.
C’est une situation difficile à mesurer. Le point de vue de TeamViewer est compréhensible. Selon eux, leurs serveurs sont intacts. Ils peuvent toujours fournir des services d’accès à distance comme d’habitude. La plupart des utilisateurs peuvent toujours accéder à leurs comptes et utiliser le service tel quel.
Mais cela n’explique pas le grand nombre de comptes apparemment compromis. Il n’explique pas non plus comment les utilisateurs disposant de mots de passe à usage unique forts et sans compromis peuvent pirater leurs comptes de la même manière que ces informations d’identification ont déjà été compromises. Cela n’explique pas non plus pourquoi certains utilisateurs voient encore de nombreuses tentatives entrantes provenant d’adresses IP chinoises et taïwanaises.
TeamViewer gère également mieux l’ensemble de la situation. Compte tenu du grand nombre de personnes déposant des plaintes extrêmement similaires, il est un peu injuste de condamner immédiatement ceux qui ont des problèmes évidents directement liés à leurs services de bureau à distance. Mais une fois que la balle roule, et…
