À la suite de notre article consacré à l’infection de plusieurs dizaines de clients de Xefi par un cryptolocker, nous avons reçu plusieurs réactions, dont celle de Kaseya, très sévères à l’égard de la défense adoptée à cette occasion par le prestataire de services d’infogérance. « Le scénario de l’attaque tel que le présente Sacha Rosenthal, le pdg de Xefi, est invraisemblable et porte préjudice à Kaseya et à tous les prestataires qui utilisent sa solution de RMM [remote monitoring and management ou surveillance et gestion à distance], regrette Pedro Sousa, pdg du groupe Plenitude, un concurrent de Xefi, qui utilise et distribue Kaseya.

S’il reconnaît bien qu’une trentaine de ses clients se sont fait attaquer fin janvier, Sacha Rosenthal décline toute responsabilité en soutenant que ses datacenters n’ont pas été compromis et que les attaquants se sont introduits dans les serveurs de ses clients via une compromission des identifiants et mots de passe de l’outil Kaseya installé sur leurs machines. « En affirmant cela, Xefi laisse entendre que ses clients ont été attaqués directement sans passer par ses systèmes et que le vecteur de l’attaque a été la console Kaseya au moyen de mots de passe qui n’étaient pas les siens », décrypte Pedro Sousa. Une présentation des choses qui jette le discrédit sur Kaseya, selon lui et oblige Plenitude à se justifier auprès de ses clients qui l’interpellent sur la vulnérabilité supposée de l’offre Kaseya.

Ce à quoi, John Durant, directeur technique de Kaseya, répond que depuis sa prise de fonction il y a trois ans, la politique de sécurité de l’offre Kaseya n’a pas une seule fois été mise en défaut. En revanche, il note une recrudescence des attaques des utilisateurs de RMM – celui de Kaseya et ceux de ses concurrents. « Traditionnellement, les utilisateurs de RMM sont des petites sociétés qui n’ont pas beaucoup de ressources à consacrer pour se protéger des cybermenaces, explique-t-il. Et les hackers le savent. »

Kaseya n’est pas en mesure de dire précisément ce qu’il s’est passé dans le cas de Xefi. Tout simplement parce que ce dernier n’a pas partagé avec lui, comme c’est l’usage, les fichiers de connexion qui auraient permis à son équipe d’experts en sécurité d’investiguer sur l’attaque et d’identifier d’éventuelles failles de sécurité.  « Le plus souvent, le point d’entrée des attaquants est un mot de passe faible facile à cracker », constate John Durant. L’utilisation de versions obsolètes du logiciel et l’installation d’outils tiers interagissant avec son RMM mais non supportés par Kaseya, sont les deux autres modes d’attaques les plus communs relevés par l’éditeur.

John Durant souligne que très souvent Kaseya a constaté que les techniciens d’un même prestataire utilisent un identifiant/mot de passe unique qu’ils partagent entre eux pour se connecter sur les logiciels clients des utilisateurs. Et si le prestataire n’a de surcroît pas paramétré la désactivation de compte après un nombre déterminé de mauvais mot de passe et pas installé d’authentification multi-facteurs, quelques dizaines de secondes suffisent pour casser ce mot de passe par attaque « brute force », estime un spécialiste.

Le vol de ses identifiants et mots de passe est le scénario le plus probable dans le cas de Xefi, estime Pedro Sousa. Cela expliquerait notamment que les attaques aient affecté quasi-simultanément autant de clients de l’infogéreur. C’est aussi l’avis d’un prestataire cité par France 3 Bourgogne Franche-Comté dans un article du 28 janvier qui déclare que « les pirates ont touché le cœur du dispositif en ciblant Xefi ». Dans ce même article, le directeur marketing de Xefi reconnaît implicitement que l’infogéreur a été attaqué lorsqu’il évoque la demande de rançon qu’il a reçue.