Le personnel de Kaseya a tiré la sonnette d'alarme sur les failles de sécurité pendant des années avant l'attaque du ransomware

60

Les employés disent qu'ils ont démissionné par frustration ou qu'ils ont été licenciés pour des problèmes de cybersécurité flagrants qui ont été ignorés.

alysestanleyAlyse Stanley il y a 2 heures32Alertes

Image de l'article intitulé Le personnel de Kaseya a sonné l'alarme sur les failles de sécurité pendant des années avant l'attaque par ransomware Photo : Jack Guez (Getty Images)

Les employés ont averti les supérieurs de Kaseya pendant des années des failles de sécurité critiques de son logiciel, mais leurs inquiétudes ont été écartées, ont déclaré d'anciens employés à Bloomberg. Plusieurs membres du personnel ont démissionné de frustration ou ont été licenciés après avoir tiré à plusieurs reprises la sonnette d'alarme concernant les défaillances des pratiques de cybersécurité de l'entreprise informatique. Aujourd'hui, Kaseya est au centre d'une attaque de ransomware massive qui a pris au piège plus de 1 000 entreprises dans le monde.

Entre 2017 et 2020, les employés ont signalé « de nombreux problèmes de cybersécurité ” à leurs supérieurs, affirmant que Kaseya utilisait un code obsolète, implémentait un cryptage médiocre et ne corrigeait pas systématiquement ses logiciels et ses serveurs, rapporte Bloomberg. C'est selon cinq anciens employés de Kaseya qui ont parlé avec le point de vente sous couvert d'anonymat parce qu'ils avaient signé des accords de non-divulgation ou craignaient des représailles.

Deux anciens employés ont déclaré avoir mis en garde les dirigeants contre les vulnérabilités de son ancien logiciel Virtual System Administrator – le système que les pirates ont détourné pour lancer cette dernière attaque – qui était soi-disant tellement criblé de problèmes qu'ils voulaient qu'il soit remplacé. Les clients de Kaseya, des sociétés connues sous le nom de fournisseurs de services gérés ou MSP, fournissent des services informatiques à distance à des centaines de petites entreprises et utilisent des serveurs VSA pour gérer et envoyer des mises à jour logicielles à ces clients.

Selon les premiers rapports, les pirates ont eu accès à l'infrastructure principale de Kaseya pour envoyer des logiciels malveillants déguisés en mise à jour logicielle aux serveurs VSA exécutés dans les locaux du client. À partir de là, ils ont utilisé la mise à jour malveillante pour installer un ransomware sur chaque poste de travail connecté aux systèmes VSA. Le gang de ransomware REvil, lié à la Russie, s'est attribué le mérite de cette attaque et demande une rançon de 70 millions de dollars pour déverrouiller tous les ordinateurs concernés.

Un ancien employé a déclaré à Bloomberg qu'en 2019, il avait envoyé à Kaseya une note de 40 pages décrivant ses problèmes de sécurité, l'une des nombreuses tentatives qu'il a faites au cours de son mandat pour convaincre les dirigeants de l'entreprise pour résoudre ces problèmes. Il a été licencié deux semaines plus tard, une décision qui, selon lui, était liée à ces efforts, a-t-il déclaré dans une interview avec le média. D'autres ont abandonné par frustration après que Kaseya ait semblé se concentrer sur le déploiement de nouvelles fonctionnalités de produit plutôt que sur la résolution des vulnérabilités existantes.

G/O Media peut recevoir une commission3-Pack : Mophie PowerStation Power Banks avec USB-C/A 3-Pack : Mophie PowerStation Power Banks avec USB- C/A19 $ chez SideDeal

Un autre ancien employé a affirmé que Kaseya stockait des mots de passe clients non cryptés sur des plates-formes tierces et corrigeait rarement ses logiciels ou ses serveurs. Lorsque l'entreprise a commencé à licencier des employés en 2018 pour externaliser leurs emplois en Biélorussie, quatre des cinq travailleurs avec lesquels Bloomberg s'est entretenu ont déclaré qu'ils considéraient cette décision comme un risque potentiel pour la sécurité étant donné l'influence de la Russie sur le pays.

Le logiciel de Kaseya avait même déjà été exploité dans le cadre d'attaques de ransomware, au moins deux fois entre 2018 et 2019, selon les employés. Chose déconcertante, cela n'a toujours pas suffi à les convaincre de repenser leurs normes de cybersécurité.

Lorsqu'il a été contacté pour commenter ces réclamations de la part de ses anciens employés, Kaseya a fourni la déclaration suivante à Gizmodo : les personnes qui ont des données réelles et essaient d'aller au fond des choses, pas sur des spéculations aléatoires d'anciens employés ou du monde au sens large. “

Néanmoins, les pirates informatiques ont déjà exploité des vulnérabilités similaires à celles décrites ici pour lancer des attaques à grande échelle, de sorte que les affirmations des employés ne sont pas si difficiles à croire. En décembre, SolarWinds a également été la cible d'une attaque de chaîne d'approvisionnement, c'est-à-dire lorsque des pirates informatiques exploitent les failles de sécurité des fournisseurs de logiciels tiers pour cibler leurs clients. Jusqu'à 18 000 de ses clients ont été compromis, y compris de nombreuses grandes agences et entreprises fédérales américaines.

Alyse StanleyPostsEmailTwitter

Je couvre la technologie et les jeux vidéo pour des sites comme Gizmodo, Polygon, The IndieGameWebsite et d'autres. Les passe-temps incluent la sieste et la grande taille.