Le 6 mars dernier, Citrix avait été contacté par le FBI en raison d'une suspicion d'un accès à son réseau interne par des cybercriminels internationaux. Dans le cadre d'une enquête, le fournisseur de solutions de virtualisation, services cloud et VPN pour des entreprises a identifié du " password spraying. "
Cette technique de pulvérisation de mots de passe fait référence à une attaque s'appuyant sur un ensemble limité de mots de passe faibles qui sont testés sur des comptes d'employés. Citrix n'avait par contre pas trouvé d'éléments concernant une exploitation de vulnérabilités dans ses produits ou services, ou une compromission.
Dans une lettre envoyée au procureur général de la Californie (PDF), Citrix indique croire que des cybercriminels ont eu un " accès intermittent à son réseau " entre le 13 octobre 2018 et le 8 mars 2018. Ils ont exfiltré des fichiers pouvant contenir des informations sur les employés, voire sur " des bénéficiaires et / ou personnes à charge. "
Il avait d'abord seulement été évoqué le téléchargement de documents commerciaux. Désormais, il est fait mention de données personnelles comme les noms, numéros de sécurité sociale, certaines informations financières, sachant que le travail d'enquête n'est pas encore terminée.
Lors de la révélation de cette affaire, la société de cybersécurité Resecurity avait pointé du doigt le groupe de cyberespionnage Iridium soutenu par l'Iran et un accès à au moins 6 To de données sensibles de Citrix. Le président de Resecurity avait même suggéré une intrusion initiale remontant à environ dix ans. Ce sont des points qui n'ont pas été confirmés.
