ONU: 1 brèche causée par une faille de Microsoft SharePoint

Des pirates informatiques ont pénétré le réseau informatique de l’ONU en Juillet 2019. Ils auraient apparemment exploité une vulnérabilité de Microsoft SharePoint, selon les rapports. La brèche, qui semble être une opération d’espionnage, a donnée aux hackers l’accès à 400Go de données sensibles.

La brèche a été passée sous silence jusqu’à la fin du mois de Janvier, quand un document interne résumant le piratage a été partagé par The New Humanitarian, une agence de presse internationale se concentrant sur les Droits de l’Homme.

ONU

Selon le document confidentiel, au moins 42 serveurs de l’ONU ont été compromis à Genève et Vienne, exposant les données personnelles du staff et les documents sensibles concernant aussi d’autres organisations collaborant avec l’ONU.

“Bien que nous ne savons pas exactement quels documents et données les hackers ont obtenu lors de l’incident de 2019, le rapport laisse entendre que les documents internes, bases de données, emails, informations commerciales et les données personnelles ont pu être accessible aux intrus. La fuite de ces données sensibles pourrait avoir des répercussions pour le staff, ainsi que les individus et les organisations communicant et faisant du business avec l’ONU,” a déclaré Ben Parker, porte-parole de The New Humanitarian.

Selon The Associated Press, qui a aussi analysé les documents internes, la brèche a été causée par l’exploitation d’une faille dans le logiciel SharePoint de Microsoft. Cette vulnérabilité d’exécution de code à distance (CVE-2019-0604) a été patchée en Mars 2019. Cependant, l’ONU n’a pas mis à jour ses systèmes informatiques.

Le piratage de l’ONU

Les serveurs se trouvant à 3 différentes positions géographiques ont été compromis: le bureau de l’ONU à Vienne, le bureau de l’ONU à Genève et le bureau de l’ONU du Haut Comissariat des Droits de l’Homme qui se trouve aussi à Genève.

Nous ne savons pas exactement quelles données ont été compromises, le document affirme que les informations du staff, l’assurance santé et les données de contrats de commerce ont été compromis. Le piratage a aussi affecté les bureaux des Droits de l’Homme de l’ONU qui collectent des données utilisées pour révéler les abus des Droits de l’Homme. Le document suggère aussi que le piratage a affecté le bureau de l’ONU à Genève qui emploie environ 1600 personnes.

L’ONU affirme qu’aucune donnée sensible n’a été accédé lors de la brèche de données. Ils ont déclaré que quand ils ont découvert l’attaque, ils ont tout de suite mis hors ligne les serveurs de développement affectées.

“Bien que les hackers ont accédé à une partie autonome de notre système en Juillet 2019, les serveurs de développement auxquels ils ont accédé ne contenaient aucune donnée sensible ou information confidentielle,” selon le communiqué de l’ONU. “Les hackers ont réussi à accéder à notre Active User Directory qui contient les identifiants d’utilisateurs pour notre staff et nos appareils. Cependant, ils n’ont pas accédé aux mots de passe ou autres parties du système.”

Le type de malware utilisé et les serveurs command-and-control (C2) utilisés pour exfiltrer les données sont inconnus. L’identité des hackers, ainsi que l’étendu des données collectées, sont aussi inconnus.

“Etant donné le fait qu’ils sont autant ciblés, il est regrettable que l’ONU semble ne pas avoir une hygiène de sécurité basique en place pour faire face aux menaces communes, et encore moins aux hackers sponsorisés par des gouvernements,” a déclaré Richard Gold, directeur de la sécurité chez Digital Shadows. “Etre sûr que vous vous êtes complètement débarrassé d’une menace dans votre réseau est compliqué, particulièrement quand les fondamentaux de la sécurité réseau ne sont pas en place.”

Un piratage non-signalé

L’ONU n’a notifié personne, pas même son staff, à propos de cette brèche. Les membres du staff ont seulement reçu l’ordre de changer leurs mots de passe.

Alors que la plupart des organisations doivent obéir à des standards de régulation qui les obligent à divulguer les brèches de données, comme le RGPD, l’ONU a une immunité diplomatique, ce qui signifie que qu’ils n’ont pas l’obligation de divulguer ce qui a été obtenu par les hackers ou de notifier ceux qui ont été affecté.

Cependant, les experts en sécurité n’ont pas tardé à critiquer les actions de l’organisation après cette brèche.

“Je ne sais pas quelle est la culture de l’ONU, mais il devrait la changer pour adopter plus de transparence concernant la sécurité informatique, cela n’aurait pas été une histoire et aurait profité à tous s’ils avaient été plus ouverts sur la question.” a déclaré Kevin Beaumont sur Twitter.

The New Humanitarian a déclaré que la décision de ne pas notifier les partis affectés est un “abus de confiance” pour tout les partis impliqués.

“Peu importe ce qui a été exposé, la décision de ne pas notifier tout les membres de l’organisation dont les données ont été compromises risque de créer une méfiance envers l’ONU.”

L’ONU est constamment ciblé par les cybercriminels. Par exemple, en Octobre, des chercheurs ont déclaré qu’une campagne d’hameçonnage sur appareils mobiles ciblait l’organisation. Et un peu plus tôt le mois dernier, les chercheurs ont affirmé que les pirates informatiques responsables d’Emotet avaient ciblé le personnel de l’ONU.

Poster un Commentaire

avatar
  S’abonner  
Notifier de