TeamViewer a été victime il y a deux jours d’une attaque par déni de service. Parallèlement, un nombre croissant d’utilisateurs se plaint que leur machine a été contrôlée via les solutions de l’éditeur par des tiers. Pour TeamViewer, il n’y a pas de lien, mais une explication : une mauvaise gestion des mots de passe.
Mercredi n’a pas été une journée simple pour TeamViewer. Ses infrastructures ont été attaquées par un déni de service, qui a provoqué de nombreux problèmes dans les communications établies par les différents services proposés. L’éditeur est en effet très connu pour ses outils de prise de contrôle à distance, utilisés notamment pour dépanner à distance des machines.
Attaque DoS et piratages de comptes
Le problème s’est étalé sur plusieurs heures, jusqu’à ce que l’entreprise signale sur Twitter que la situation revenait à la normale. Seulement voilà, dans le même temps des commentaires ont explosé, notamment sur Reddit. Un nombre croissant d’utilisateurs s’est mis à rapporter que leurs appareils avaient été contrôlés via TeamViewer.
On trouve de nombreux témoignages en lien avec ces incidents. Certains indiquent par exemple avoir réalisé à temps ce qui se passait, leur permettant de couper la connexion. D’autres expliquent au contraire que non seulement ils n’étaient pas là pour découvrir le pot aux roses, mais que leurs comptes étaient protégés par une double authentification, sans que cela suffise.
Une mauvaise gestion des mots de passe
Toujours mercredi, l’entreprise a fini par réagir. Dans un communiqué, elle a affirmé que l’attaque DoS n’avait provoqué aucune brèche dans ses installations et donc qu’aucune donnée de client n’avait été dérobée. Elle déconnectait donc complètement les piratages de comptes et l’attaque. Son interprétation des évènements était d’ailleurs très claire : « L’utilisation imprudente des identifiants reste un problème-clé des services Internet. Cela inclut notamment l’utilisation du même mot de passe à travers des comptes multiples sur des services variés ».
L’explication donnée par TeamViewer n’a rien de farfelu. Mais pourquoi une telle recrudescence ? Il s’agit probablement d’une attaque concertée pour agir rapidement avant que des mesures ne soient prises. Une attaque d’autant plus facile à mettre en place que des centaines de millions de couples adresses et mots de passe ont été mis en vente ces derniers temps, notamment via les énormes fuites de données chez LinkedIn et MySpace.
Des mesures supplémentaires de protection
Toutefois, TeamViewer n’est pas restée longtemps campée sur cette seule position. Dans un nouveau billet de blog, la société vient en effet d’annoncer deux mesures pour renforcer la sécurité générale des clients. D’une part, la possibilité d’attendre que soit validée une connexion sur un nouvel appareil, pour le déclarer comme étant de confiance. Un lien sera envoyé par email pour confirmer l’opération. D’autre part, une surveillance de l’activité des comptes en vue d’y détecter d’éventuelles anomalies. Si tel est le cas, l’utilisateur recevra un email lui demandant de changer son mot de passe.
En dépit de ces mesures supplémentaires, l’entreprise ne change pas d’avis : les vols de données ont été provoqués par une attitude globalement irresponsable. Soit les mots de passe ont été réutilisés, soit des malwares ont été installés, mais ses propres serveurs sont intacts. Elle en veut pour preuve que son système d’authentification utilise le protocole SRP (Secure Remote Password) et ne stocke donc pas de mots de passe.
