Dans son annonce, le fournisseur de solutions de virtualisation, services cloud et VPN pour des entreprises ne s'étend guère dans les détails. Pour l'heure, Citrix indique avoir été contacté par le FBI ayant des raisons de croire que des cybercriminels internationaux ont eu accès à son réseau interne.
L'enquête est en cours, notamment avec l'aide d'un spécialiste de la cybersécurité, et le géant américain du cloud assure que les mesures nécessaires ont été prises afin de contenir l'incident et sécuriser son réseau.
A priori, des attaquants ont téléchargé des documents commerciaux, mais Citrix ne sait pas pour le moment la nature des données dérobées, tout en ajoutant qu'il n'y a pas d'indice de la compromission d'un produit ou service.
Même si cela n'a pas été confirmé, Citrix déclare que le FBI suspecte les cybercriminels d'avoir exploité une méthode d'attaque de type " password spraying " (pulvérisation de mots de passe). Ce genre d'attaque s'appuie sur un ensemble limité de mots de passe. Ils sont testés sur un ensemble de comptes d'employés.
Une telle attaque est plus discrète qu'une attaque par force brute, dans le sens où elle est moins susceptible de déclencher des alertes ou des blocages de comptes après des tentatives répétées. Elle repose sur des mots de passe faibles. Une fois un accès limité obtenu, les attaquants auraient œuvré pour contourner des couches supplémentaires de sécurité.
D'ores et déjà, Citrix présente ses excuses pour l'impact de cet incident de sécurité. À en croire la société de cybersécurité Resecurity, l'intrusion serait liée au groupe de cyberespionnage Iridium soutenu par l'Iran. Il aurait eu accès à au moins 6 To de données dites sensibles de Citrix, dont des " correspondances par email, fichiers en partage réseau et d'autres services utilisés pour la gestion de projet et l'approvisionnement. "
Supply Chain [@Citrix] – The Major Target of Cyberespionage Groups via Resecurity Blog https://t.co/UkiBwbYtSi #databreach #cyberattacks #cybersecurity pic.twitter.com/7Gdhw4VVgW
— Resecurity (@resecurity_com) 8 mars 2019
Resecurity indique avoir prévenu Citrix d'une première attaque le 28 décembre 2018, sachant que l'alerte du FBI remonte au 6 mars dernier. Néanmoins, il n'est pas clair si Citrix a pris des mesures entre-temps.
À NBC News, Charles Yoo, le président de Resecurity, a déclaré avoir des raisons de croire que le groupe Iridium a pénétré le réseau de Citrix il y a environ dix ans et se cachait depuis. Iridium aurait ciblé Citrix pour obtenir des informations sur ses clients gouvernementaux.
