Les attaques dites «zero-day» menées par le groupe de pirates chinois Hafnium menacent 1170 entreprises belges. Secutec tire la sonnette d’alarme.

Pas moins de 1 170 organisations belges sont exposées et n’ont pas encore appliqué le «patch». Trente organisations ont déjà été piratées. Secutec a immédiatement transmis la liste au Centre de cybersécurité de Belgique et au CERT.

Le 2 mars, Microsoft a mis en garde contre une faille de sécurité dans Exchange. Il s’agirait d’attaques «zero-day» d’un nouveau genre, utilisant des failles de sécurité jusqu’ici inconnues. Les cybercriminels sont en mesure d’accéder à l’ensemble du réseau d’une organisation. 

«Jusqu’à présent, peu d’informations étaient disponibles sur la situation dans notre pays, observe Geert Baudewijns, CEO, Secutec. Sur le dark net, il apparait toutefois que 1170 entreprises et organisations belges sont concernées,. Il s’agit aussi bien de PME que d’organisations publiques, dont un de nos parlements. Ces organisations n’ont pas encore colmaté la fuite.  Nous pensons que ce piratage pourrait ‘rapporter’ énormément. Une affaire sans précédent !»

Une faille d’une rare gravité

Secutec a déjà vérifié 30 entreprises ce week-end. Son enquête montre que des pirates ont déjà réussi à pénétrer dans leur infrastructure informatique. Geert Baudewijns : «Si vous ne pouvez installer le correctif mis à disposition par Microsoft, il y a de fortes chances qu’il y ait eu une intrusion.» Techniquement, cette attaque semble avoir été très largement automatisée. Elle pourrait donc impacter un maximum d’organisations dans un laps de temps très court.

Qui plus est, la faille est d’une rare gravité. Elle permet à l’attaquant de réaliser une exécution de code arbitraire à distance. Et, au départ d’Active Directory, de prendre possession de l’intégrité de la messagerie. Et d’accéder aux différentes ressources de l’entreprise.

Même les systèmes corrigés peuvent être compromis

Selon les experts en sécurité de Volexity qui ont collaboré avec Microsoft, les premiers signes d’exploitation de cette faille remonteraient à la fin janvier. À l’époque, l’attaque n’avait pas encore été automatisée et ne concernait qu’un nombre restreint de victimes.

Tout comme pour l’affaire SolarWinds, cette cyber-invasion sponsorisée par un état fera encore longtemps parler d’elle. «Même les systèmes corrigés peuvent être compromis, avertit pour sa part Palo Alto. Les vulnérabilités ont été activement exploitées pendant au moins deux mois avant que les correctifs de sécurité ne soient disponibles.»