TeamViewer a été victime il y a deux jours d’une attaque par déni de service. Parallèlement, un nombre croissant d’utilisateurs se plaint que leur machine a été contrôlée via les solutions de l’éditeur par des tiers. Pour TeamViewer, il n’y a pas de lien, mais une explication : une mauvaise gestion des mots de passe.
Mercredi n’a pas été une journée simple pour TeamViewer. Ses infrastructures ont été attaquées par un déni de service, qui a provoqué de nombreux problèmes dans les communications établies par les différents services proposés. L’éditeur est en effet très connu pour ses outils de prise de contrôle à distance, utilisés notamment pour dépanner à distance des machines.
Attaque DoS et piratages de comptes
Le problème s’est étalé sur plusieurs heures, jusqu’à ce que l’entreprise signale sur Twitter que la situation revenait à la normale. Seulement voilà, dans le même temps des commentaires ont explosé, notamment sur Reddit. Un nombre croissant d’utilisateurs s’est mis à rapporter que leurs appareils avaient été contrôlés via TeamViewer.
On trouve de nombreux témoignages en lien avec ces incidents. Certains indiquent par exemple avoir réalisé à temps ce qui se passait, leur permettant de couper la connexion. D’autres expliquent au contraire que non seulement ils n’étaient pas là pour découvrir le pot aux roses, mais que leurs comptes étaient protégés par une double authentification, sans que cela suffise.
Une mauvaise gestion des mots de passe
Toujours mercredi, l’entreprise a fini par réagir. Dans un communiqué, elle a affirmé que l’attaque DoS n’avait provoqué aucune brèche dans ses installations et donc qu’aucune donnée de client n’avait été dérobée. Elle déconnectait donc complètement les piratages de comptes et l’attaque. Son interprétation des évènements était d’ailleurs très claire : « L’utilisation imprudente des identifiants reste un problème-clé des services Internet. Cela inclut notamment l’utilisation du même mot de passe à travers des comptes multiples sur des services variés ».
L’explication donnée par TeamViewer n’a rien de farfelu. Mais pourquoi une telle recrudescence ? Il s’agit probablement d’une attaque concertée pour agir rapidement avant que des mesures ne soient prises. Une attaque d’autant plus facile à mettre en place que des centaines de millions de couples adresses et mots de passe ont été mis en vente ces derniers temps, notamment via les énormes fuites de données chez LinkedIn et MySpace.
Des mesures supplémentaires de protection
Toutefois, TeamViewer n’est pas restée longtemps campée sur cette seule position. Dans un nouveau billet de blog, la société vient en effet d’annoncer deux mesures pour renforcer la sécurité générale des clients. D’une part, la possibilité d’attendre que soit validée une connexion sur un nouvel appareil, pour le déclarer comme étant de confiance. Un lien sera envoyé par email pour confirmer l’opération. D’autre part, une surveillance de l’activité des comptes en vue d’y détecter d’éventuelles anomalies. Si tel est le cas, l’utilisateur recevra un email lui demandant de changer son mot de passe.
En dépit de ces mesures supplémentaires, l’entreprise ne change pas d’avis : les vols de données ont été provoqués par une attitude globalement irresponsable. Soit les mots de passe ont été réutilisés, soit des malwares ont été installés, mais ses propres serveurs sont intacts. Elle en veut pour preuve que son système d’authentification utilise le protocole SRP (Secure Remote Password) et ne stocke donc pas de mots de passe.
Commentaires (87)
#1
Autre lien sur Reddit :https://www.reddit.com/r/technology/comments/4m7ay6/teamviewer_has_been_hacked_t…
En résumé, DDoS, peut-être aussi détournement DNS qui aurait permis (sans forcément piratage des serveurs de Team Viewer eux-mêmes) de s’introduire sur les PC des utilisateurs et de piloter à distance certains comptes ?
En tout cas, de nombreux témoignages affluent, victimes de prises de contrôle indues au moment même de ce déni de service…
http://forum.malekal.com/base-donnees-teamviewer-elle-ete-volee-t55284.html#p420…
#2
Je sais pas si c’est plus sûr, mais j’utilise le Google Chrome remote desktop ça marche pas mal.
Sinon, y a aussi join.me de Logmein.
#3
TeamViewer bredouille quelques explications maladroites pour s’en sortir AMHA. Le nombre de témoignages ne cesse d’augmenter. Faut attendre d’en savoir plus je crois.
" />
Sinon, SSH.
#4
Il n’y a peut-être pas que le mauvais usage des mots de passe qui est à blâmer, mais aussi des installations où TeamViewer tourne en permanence sans que ce soit nécessaire.
#5
Un éventuel détournement de DNS (que personne n’a constaté) n’aurai pas pu marcher, le client vérifie les certificats avant de se connecter.
Beaucoup de ceux impactés et se signalant sur le subreddit teamviewer avaient un mot de pass commun a un des gros leak existant.
Suffisamment de monde en fait pour avoir envie d’avoir un doute sur ceux qui avancent l’inverse.
Surtout que la plupart des hacks ont des conséquences limités à des tentatives d’achat de gift psn via paypal et de vol de bitcoin. Si c’était plus sérieux des entreprises aurait été ciblées en masse.
#6
J’ai été hacké une première fois apr cette méthode la veille de Noel, 1000$ de sifflés sur le compte à destination d’un compte paypal chinois. Remboursé par Paypal, je pensais que mon compte Paypal avait été compromis. ce n’est qu’en avril lors d’une seconde tentative que j’ai compris que la première fois avait eu lieu par teamviewer; cette fois j’ai vu les mails paypal à temps sinon je partais pour 4k€ de siphonnage tjrs vers un fzdp de compte chinois…
Du coup ce week-end c’est formatage pour être sûr que j’ai pas de rootkit/keylogger/malware installé et je passe à Keepass et je fais le tour de tous les sites où je suis inscrit pour mettre des pass random…
tout ça pour dire qu’à mon avis ils ont raison, ca vient sans doute d’un leak de mdp d’un autre service, et ca a commencé bien avant cette semaine.
#7
#8
Team Viewer serait donc le premier au monde à avoir créé un coffre fort inviolable ? Incroyable
" />
#9
Sur mon compte, on est 8 PC connectés H24. J’avais vu que je pouvais plus me connecter, mais évidemment, pas de prise de contrôle. Faut dire que mon mot de passe, c’est une ancienne clé Windows XP que j’ai utilisé tellement de fois que j’ai finit par la connaître par cœur….
#10
D’autres expliquent au contraire que non seulement ils n’étaient pas là pour découvrir le pot aux roses, mais que leurs comptes étaient protégés par une double authentification, sans que cela suffise.
Oula… c’est quoi la double authentification chez TeamViewer ? Parce que si c’est bien implémenté, il n’est pas du tout évident de contourner cette protection simplement en ayant le bon mot de passe…
#11
Quand je vois la naïveté -pour être gentil- des gens même “cadres”(donc avec un certain degré d’intelligence normalement…), ça ne risque pas de changer.
#12
#13
#14
#15
Bin, c’est ‘dredi quoi … 
" />
#16
Ah c’est pour ça que leur site était indisponible mercredi !
Perso j’ai mis un mot de passe assez robuste, mais surotut je le coupe sur le poste client quand je n’en ai pas besoin.
#17
Je ne compte plus le nombre de ‘mais tu penses vraiment que des gens nous en veuillent au point de nous pirater,’, ou de ‘mais qui va s’amuser à sniffer les flux réseaux qui sortent de chez nous?’ (en parlant de mdp sur un service en http).
Et venant de gens dont je suis à peu près certain de la bonne foi, et totalement du fait qu’ils soient d’une intelligence supérieure à la moyenne. Ce sont juste des bisounours qui ne suivent pas particulièrement l’actualité de la sécurité informatique.
Pour beaucoup de gens, c’est bien de naïveté qu’il s’agit.
#18
Moi je reçois régulièrement des demandes de nouveau contact TeamViewer par mail. Je ne clique jamais pour les accepter mais c’est bizarre quand même que n’importe qui puisse me trouver pour m’envoyer ces demandes.
#19
Il s’agit bien de ça : la naiveté ou la flemme de s’informer en profondeur et de façon diversifiée quand on utilise un outil qu’on ne maitrise pas ou mal est dangereuse pour soi-meme mais aussi pour les autres.
" />
#20
#21
#22
#23
Même pas mal, j’utilise le pass unique à chaque session de Teamviewer. Mes contacts aussi.
#24
+1, j’ai aussi eu des demandes de contact
#25
La double authentification Teamviewer c’est pour protéger ton compte, pas pour protéger les machines.
En gros si je me log sur Teamviewer avec mon compte Teamviewer, j’ai un second mot de passe à rentrer.
Mais si je ne me log pas et que je tape l’identifiant de la machine (9 chiffres) avec son mdp fixe (à rentrer dans les paramètres du software Teamviewer, je n’aurais pas la double authentification.
Sinon je n’ai jamais rencontré aucun soucis avec Teamviewer, qui démarre en même temps que mon PC.
#26
#27
#28
#29
#30
#31
Et comment tu fais pour lancer teamviewer sur l’ordinateur distant que tu veux contrôler ?
#32
#33
L’installer c’est une chose; mais le lancer au démarrage, s’en ai une autre. Par erreur une fois, j’ai cliqué sur installer au lieu de lancer et du coup je l’ai laissé installé mais j’ai bien fait attention qu’il ne démarre pas automatiquement au lancement de windows. Du coup il ne me sert pas à grand chose mais ce n’est pas trop grave.
Je vérifierai par acquis de conscience quand même quand je serai chez moi.
#34
#35
Vous connaissez pas une solution semblable que teamviewer en gratuit et open source que je peux monter moi meme?
#36
#37
#38
Ça sert a quoi d’utiliser un logiciel de contrôle à distance alors que dans ton cas précis une solution serveur serait plus adaptée ?
#39
#40
Si tu va par là, maintenant elles sont équipées de prise odb2.
" />
" />
#41
Est tu prêt à partager un secret avec un tiers ?
" />
As tu confiance en ce dernier ?
Est il possible que quelqu’un qui trouve comment accéder à mon compte google/chrome puisse dénicher ce secret ?
C’est à toi de trouver la réponse qui te convient.
#42
#43
Je n’ai pas besoin d’une “solution serveur” (laquelle ?) étant donné que Teamviewer répond à mon besoin de manière multiplateforme et gratuite. Le PC client n’est pas forcément sous Linux, par exemple mon portable pro quand je suis en déplacement.
J’ai juste besoin d’un outil me permettant d’accéder à mon PC chez moi à distance par le desktop, et Teamviewer y répond.
Et comme tout outil de ce type, il faut sécuriser son installation. C’est comme installer un serveur VNC sur son PC, si on ne fait pas le minimum de sécu c’est passoire open bar.
#44
#45
#46
Je pense qu’on ne se comprend pas : je parle de vouloir accéder au desktop (c’est important, on parle pas de SSH) d’un Linux à distance, à savoir mon PC chez moi, avec un poste client à l’OS variable, voir smartphone. Or, il y a très peu d’outils capables de le faire de manière efficace et sécurisée (VNC est l’un des seuls à ma connaissance et côté sécu est une cata).
Et Teamviewer répond à ce besoin à la perfection… Pour la sécu, je le dis et redis : ça se paramètre, par défaut c’est un cratère béant sinon. (comme toute solution out of box, de base c’est inadapté à un usage exposé)
Si une solution libre, décentralisée, et auto hébergeable existait en ce sens, j’aurais sauté dessus depuis longtemps. Mais mes recherches en la matière tombent souvent sur la même réponse…
#47
KeePass a aussi récemment été victime d’une faille. Je parle de mémoire, mais il fallait qu’un cheval de troy spécifique surveille l’ouverture d’un trousseau de clef par KeePass pour pouvoir accéder à son contenu seulement pendant la persistance de KeePass (donc une fois fermée / verrouillé , plus d’accès)
En tout cas, perso j’ai juste désactivé les services Team Viewer sur mes becannes, coupé le démarrage avec le système. Je n’ai pas de mot de passe dynamique et mes mots de passes de connexion sont des chaines spécifiques longues générées par KeePass :p
Autre truc, je ne fait pas retenir les infos bancaires par les services en ligne. Je doit les écrire a chaque fois, mais ça me protège tant chez moi que d’un piratage des serveurs des vendeurs.
#48
#49
#50
#51
“D’autre part, une surveillance de l’activité des comptes en vue d’y détecter d’éventuelles anomalies. Si tel est le cas, l’utilisateur recevra un email lui demandant de changer son mot de passe.”
" />
Je viens de recevoir le mail en question. Première nouvelle : j’ai un compte TeamViewer, j’avais totalement zappé
Ensuite, c’est un mail et un mdp bidon que j’ai utilisé sur plein de services qui se sont fait pirater, selon “Have I been pwned ?” : Adobe, XSplit, FFShrine, MySpace (j’apprends au passage que j’avais un compte là bas) …
Mais c’est sûr que c’est bizarre de voir tant de comptes TeamViewer compromis d’un coup.
#52
de la merde teamviwer ^^ go join.me une application moins gourment et plus facile a gerer
#53
ah teamviewer…
les mecs qui admin les postes de ma société l’installent par défaut, et mdp enregistré comme ça il interviennent facile..
dès que j’ai un PC dans les mains, j’enlève TW du boot et je switche en mdp aléatoire..
sans blague.. mais ca reste pour moi le logiciel top pour le remote control..
pour “Google Chrome remote desktop, le fait qu’un navigateur permette d’accéder au reste de l’ordinateur me fait froid dans le dos. Une des nombreuses raisons pour lesquelles je n’installerai jamais chrome.
/mylife
#54
#55
C’est pas faute d’avoir cherché hélas, mais sous Linux je n’ai trouvé que soit des outils over-ssh (genre X11 over SSH, etc), celui par défaut d’Ubuntu qui se base sur VNC (donc niet pour moi), et le reste sont des outils d’ouverture de session distante et non prise de contrôle d’une session en court.
Clairement, il y a un gros manque d’outil libre pour reproduire le RDP de Windows :‘(
Donc pour l’instant je ne suis pas prêt de remplacer Teamviewer pour mon besoin.
#56
si VNC est problématique niveau sécurité il est toujours possible de le faire passer dans un tunnel SSH, bon par contre c’est dommage ça rajoute de la complexité mais il y a plein de tutos disponibles (en cherchant “tunnel ssh” ou “vnc over ssh”)
#57
Oui j’avais déjà vu cette possibilité, mais ça limite le type de client utilisé derrière et rend plus complexe l’installation comme tu dis.
" />
Une autre possibilité est de monter un lien VPN et faire en sorte que VNC n’écoute qu’en local. Mais pareil, ça limite le client (genre les smartphones qui ne supportent pas openVPN, voire aucun…).
Peut-être qu’un jour il y aura une alternative libre (décentralisée serait le must) à Teamviewer… Et je serai prêt à essuyer les plâtres au km² si nécessaire le jour où elle arrivera
PS : oui je suis chiant, très chiant, hyper chiant, et giga chiant.
#58
Mon PC est éteint par ma solution domotique quand je ne suis pas chez moi, que je dors etc… donc le seul moment où le type peut prendre le contrôle c’est… quand je suis chez moi
Bon courage.
#59
C’est un plugin de Chrome qui n’est pas installé par défaut.
#60
#61
#62
#63
c’est effectivement des cas particuliers.
je rejoins SebGF. Je l’utilise aussi pour un accès à la session en cours à distance sur plusieurs postes win, linux et macos. Pas le choix pour les machines en questions.
Je ne détaillerai pas ici par contre.
Par contre, niveau sécurité, je reconnais que pour tous les autres dont je n’en ai pas l’utilité, je vais le désactiver au démarrage.
#64
pour pouvoir se connecter quand on veut à son PC distant ? :-/
#65
#66
Si j’en ai besoin à distance je fais du WOL via ma box domotique et je le prends en main à distance^^
#67
#68
Le racisme VNC est inexcusable.
#69
#70
Il y a Xrdp pour les Linux.
#71
Sinon y’a anydesk qui fonctionne vraiment bien et dispo windows et linux (du moins debian et ubuntu je crois), un portage android est aussi prévu si je me souviens bien.
http://anydesk.fr
#72
#73
#74
#75
#76
#77
anydesk est me semble fait par d’ancien de teamviewer ; cependant niveau pro , la licence est bien plus chère et surtout qu’elle n’est pas “licence à vie” même si 6 ans c’est beaucoup
Certains osent utiliser Ammyyadmin , un truc d’indien , aussi fiable niveau sécurité que laisser sa caméra ip publique sans mdp et référencé sur google …
#78
#79
#80
#81
Sur ce PDF en page 4 ou 5 l’équipe de Teamviewer indique la procédure d’authentification utilisée, qui, au début, passe par leurs serveurs …
" />
Est-ce que les hackers auraient pu y récupérer/sniffer des infos pendant l’attaque, qui auraient ensuite permis de se connecter à des clients authentifiés pendant cette période ?
#82
Le passage à Keepass est long.
Repasser par tous les sites dont on se souvient, vérifier si on est inscrit, refaire un mot de passe…
Mais une fois fait, quel bonheur !
Ce matin j’ai mis à jour mon mot de passe Teamviewer, pour être sur. Ça m’a pris 10 secondes avec Keepass, puisque pas besoin de réfléchir à mon identifiant, mon mot de passe actuel, ensuite devoir trouver un mot de passe sécurisé que je puisse retenir, l’oublier deux jours après et devoir le réinitialiser…
Bon courage pour la transition, mais c’est le bon choix !
#83
#84
ou demander à l’user de prendre une autre maintenance version inférieur .. y a pas de maj auto du quicksupport comme windows 10
" />
#85
écoute, je t’invite une fois à mon bureau pour expliquer à mes clients qu’ils doivent télécharger une autre version de teamviewer, arrêter le process de teamviewer actuel et lancer l’ancienne version. En fait, c’est comme ces vieux jeux des années 80. Tous les niveaux sont hyper courts mais le premier niveau est faisable, le deuxième est horriblement dur, et la suite est du nintendo hard dans toute sa splendeur.
#86
c’est ce que j’fais ça pose pas de problème :o
#87
La licence TV à 550€ c’est : “Avec une licence Business, vous pouvez utiliser votre compte sur 3 appareils max. (par ex. ordinateurs, serveurs ou appareils mobiles)”.
" />
" />
Il faut celle d’après à 1150€.
J’ai une corporate 5 cannaux je connais ne t’en fais pas
Et pour passer à la v11 ils sont gentils ils nous la propose à 3047€ grâce à la superbe promo qu’ils nous font de… 130€