{"id":20381,"date":"2023-04-04T15:46:17","date_gmt":"2023-04-04T13:46:17","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=20381"},"modified":"2023-04-05T10:11:25","modified_gmt":"2023-04-05T08:11:25","slug":"supply-chain-attack-on-3cx","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/supply-chain-attack-on-3cx\/20381\/","title":{"rendered":"Les clients 3CX sont victimes d&rsquo;une attaque de la cha\u00eene d&rsquo;approvisionnement"},"content":{"rendered":"<p>Plusieurs m\u00e9dias <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/hackers-compromise-3cx-desktop-app-in-a-supply-chain-attack\/\" target=\"_blank\" rel=\"noopener nofollow\">ont signal\u00e9<\/a> une attaque massive de la cha\u00eene d\u2019approvisionnement qui cible les utilisateurs du <a href=\"https:\/\/en.wikipedia.org\/wiki\/3CX_Phone_System\" target=\"_blank\" rel=\"noopener nofollow\">syst\u00e8me de t\u00e9l\u00e9phonie VoIP 3CX<\/a>. Des cybercriminels anonymes ont r\u00e9ussi \u00e0 infecter les applications de VoIP 3CX pour Windows et macOS. D\u00e9sormais, ils attaquent les utilisateurs \u00e0 travers une application transform\u00e9e en arme et sign\u00e9e avec un certificat 3CX valide. La liste des utilisateurs concern\u00e9s est assez cons\u00e9quente puisqu\u2019il s\u2019agit de plus de 600 000 entreprises, dont certaines c\u00e9l\u00e8bres dans le monde entier (American Express, BMW, Air France, Toyota ou encore IKEA). Certains chercheurs ont nomm\u00e9 cette attaque malveillante SmoothOperator.<\/p>\n<p>Il semblerait qu\u2019un cheval de Troie se cache dans toutes les versions du programme publi\u00e9es apr\u00e8s le mars 3. Cela concerne donc les versions 18.12.407 et 18.12.416 de Windows et les versions 18.11.1213 et ult\u00e9rieures de macOS. Selon les repr\u00e9sentants de 3CX, le code malveillant a pu p\u00e9n\u00e9trer dans le programme \u00e0 cause d\u2019un composant open source anonyme, qui contenait un cheval de Troie, utilis\u00e9 par l\u2019\u00e9quipe de d\u00e9veloppement.<\/p>\n<h2>Une attaque via un programme 3CX avec un cheval de Troie<\/h2>\n<p>BleepingComputer mentionne les chercheurs de diverses entreprises et <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/hackers-compromise-3cx-desktop-app-in-a-supply-chain-attack\/\" target=\"_blank\" rel=\"noopener nofollow\">d\u00e9crit<\/a> le m\u00e9canisme d\u2019attaque qui se sert d\u2019un client Windows infect\u00e9 par un cheval de Troie de la fa\u00e7on suivante\u00a0:<\/p>\n<ul>\n<li>L\u2019utilisateur t\u00e9l\u00e9charge un pack d\u2019installation depuis le site officiel de l\u2019entreprise et l\u2019ex\u00e9cute, ou re\u00e7oit une mise \u00e0 jour pour un programme d\u00e9j\u00e0 install\u00e9\u00a0;<\/li>\n<li>Une fois install\u00e9, le programme infect\u00e9 par un cheval de Troie cr\u00e9e plusieurs biblioth\u00e8ques malveillantes utilis\u00e9es lors de la prochaine \u00e9tape de l\u2019attaque\u00a0;<\/li>\n<li>Le programme malveillant t\u00e9l\u00e9charge les fichiers .ico h\u00e9berg\u00e9s sur GitHub et ajoute des lignes de donn\u00e9es\u00a0;<\/li>\n<li>Ces lignes sont utilis\u00e9es pour t\u00e9l\u00e9charger la charge malveillante finale, c\u2019est-\u00e0-dire celle qui permet d\u2019attaquer l\u2019utilisateur final.<\/li>\n<\/ul>\n<p>Le m\u00e9canisme d\u2019attaque pour les utilisateurs macOS est quelque peu diff\u00e9rent. Vous trouverez une <a href=\"https:\/\/objective-see.org\/blog\/blog_0x73.html\" target=\"_blank\" rel=\"noopener nofollow\">description d\u00e9taill\u00e9e<\/a> sur le site de la fondation caritative Objective-See.<\/p>\n<h2>Quel est l\u2019objectif des cybercriminels ?<\/h2>\n<p>Le programme malveillant t\u00e9l\u00e9charg\u00e9 peut r\u00e9cup\u00e9rer des informations \u00e0 propos du syst\u00e8me, voler des donn\u00e9es et sauvegarder les identifiants des profils de l\u2019utilisateur enregistr\u00e9s dans les navigateurs Chrome, Edge, Brave et Firefox. De plus, les cybercriminels peuvent d\u00e9ployer un interpr\u00e9teur de commandes interactif qui, en th\u00e9orie, leur permet de faire presque tout ce qu\u2019ils veulent sur l\u2019ordinateur de la victime.<\/p>\n<h2>Pourquoi cette attaque est particuli\u00e8rement dangereuse ?<\/h2>\n<p>La version du programme qui contient un cheval de Troie est sign\u00e9e avec un certificat 3CX Ltd. l\u00e9gitime \u00e9mis par Sectigo\u00a0; les versions ant\u00e9rieures du programme 3CX utilisent le m\u00eame certificat.<\/p>\n<p>De plus, selon Objective-See, la version macOS du programme est sign\u00e9e avec un certificat valide mais aussi certifi\u00e9e conforme par Apple\u00a0! Cela signifie que l\u2019application peut s\u2019ex\u00e9cuter sur les versions r\u00e9centes de macOS.<\/p>\n<h2>Comment vous prot\u00e9ger\u00a0?<\/h2>\n<p>Les d\u00e9veloppeurs de l\u2019application conseillent de d\u00e9sinstaller de toute urgence les versions du programme qui contiennent un cheval de Troie et de se servir de la version Web de VoIP jusqu\u2019\u00e0 ce qu\u2019une mise \u00e0 jour soit disponible.<\/p>\n<p>Il serait \u00e9galement judicieux d\u2019effectuer une analyse minutieuse de l\u2019incident afin de vous assurer que les cybercriminels n\u2019ont pas eu le temps de prendre le contr\u00f4le des ordinateurs de votre entreprise. De fa\u00e7on g\u00e9n\u00e9rale, nous vous conseillons d\u2019utiliser des services de type <a href=\"https:\/\/www.kaspersky.fr\/enterprise-security\/managed-detection-and-response?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Managed Detection and Response (MDR)<\/a> pour contr\u00f4ler ce qui se passe sur le r\u00e9seau de votre entreprise et pour d\u00e9tecter rapidement toute activit\u00e9 malveillante.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\">\n","protected":false},"excerpt":{"rendered":"<p>Les cybercriminels attaquent les utilisateurs de programmes de t\u00e9l\u00e9phonie VoIP 3CX \u00e0 travers des applications qui contiennent un cheval de Troie.<\/p>\n","protected":false},"author":2698,"featured_media":20382,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150],"tags":[3197,161,599,23],"class_list":{"0":"post-20381","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-chaine-dapprovisionnement","10":"tag-cheval-de-troie","11":"tag-macos","12":"tag-windows"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/supply-chain-attack-on-3cx\/20381\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/supply-chain-attack-on-3cx\/25459\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/supply-chain-attack-on-3cx\/20892\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/supply-chain-attack-on-3cx\/28063\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/supply-chain-attack-on-3cx\/25758\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/supply-chain-attack-on-3cx\/26141\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/supply-chain-attack-on-3cx\/28597\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/supply-chain-attack-on-3cx\/34955\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/supply-chain-attack-on-3cx\/47698\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/supply-chain-attack-on-3cx\/21004\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/supply-chain-attack-on-3cx\/29961\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/supply-chain-attack-on-3cx\/33596\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/supply-chain-attack-on-3cx\/26061\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/supply-chain-attack-on-3cx\/31770\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/supply-chain-attack-on-3cx\/31457\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/chaine-dapprovisionnement\/","name":"chaine d&#039;approvisionnement"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20381","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2698"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=20381"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20381\/revisions"}],"predecessor-version":[{"id":20389,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20381\/revisions\/20389"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/20382"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=20381"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=20381"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=20381"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}