Sécurité

TeamViewer pirater tout ce que vous devez savoir

Cette semaine a été marquée par de graves allégations de piratage informatique, un outil extrêmement populaire d'accès à distance. TeamViewer 11 Conseils pour utiliser Team Viewer - Le meilleur gestionnaire de connexion gratuit pour Remote Desktop 11 Conseils pour utiliser Team Viewer - Le meilleur gestionnaire de connexion gratuit pour bureau à distance Un client de bureau à distance gratuit avec des fonctionnalités avancées, TeamViewer devrait être votre premier choix. Laissez-nous mettre en évidence ses caractéristiques uniques. Lire la suite . Les rapports, qui ont commencé à la fin du mois de mai, ont en grande partie mis le doigt sur une attaque en cours de type "man-in-the-middle" qui a exposé des comptes personnels d'utilisateurs de TeamViewer..

Parmi les nombreux rapports indiquant que des comptes bancaires et des comptes PayPal ont été vidés ou utilisés pour effectuer des achats non autorisés, TeamViewer tient bon, affirmant que toute activité frauduleuse ou malveillante est probablement la faute de l'utilisateur. Dans le chaos, TeamViewer a trouvé le temps de publier de nouvelles fonctionnalités conçues pour améliorer la protection des données des utilisateurs, et je suis sûr que l'ironie n'est pas perdue pour ceux qui comptent leurs sous.

Que se passe-t-il exactement chez TeamViewer? Est-ce simplement une coïncidence si tant de comptes ont apparemment été touchés simultanément? Les informations de compte des utilisateurs ont-elles été compromises lors d'une autre violation? Votre compte Gmail fait-il partie des 42 millions de données d'identification perdues? Votre compte Gmail compte-t-il parmi 42 millions de références perdues? Lire plus et maintenant trouver les informations d'identification utilisées contre eux? Ou est quelque chose d'autre à pied?

“La protection de vos données personnelles est au cœur de tout ce que nous faisons.” - mais se protègent-ils d'abord? Examinons ce que nous savons.

Que se passe-t-il?

TeamViewer se trouve au milieu d'une base d'utilisateurs très en colère. Le barrage a trait à une faille de sécurité supposée présente quelque part dans le logiciel TeamViewer, qui permet aux malfaiteurs non encore nommés et inconnus d'accéder à des comptes d'utilisateur personnels via une session à distance..

La grande majorité des utilisateurs déclarent que leurs comptes ont été piratés. Une fois l'accès obtenu, les pirates informatiques parcourent une liste de cibles tentant de dépenser ou de transférer de l'argent. Certains comptes couramment utilisés incluent:

Pay Pal
eBay
Amazone
Yahoo!
Walmart

Certains utilisateurs ont signalé avoir perdu des milliers de dollars, tandis que d'autres ont vu de nombreuses cartes de cadeaux électroniques envoyées à divers endroits dans le monde. Les achats effectués en ligne portaient généralement des noms d'expédition de charabia, envoyés à divers endroits dans le monde avec un nombre important d'utilisateurs ayant signalé des tentatives d'ouverture de session à partir d'adresses IP chinoises ou taïwanaises. Comment retracer une adresse IP vers un PC et savoir comment s'y retrouver Tracer une adresse IP sur un PC & Comment trouver la vôtre Vous voulez voir l'adresse IP de votre ordinateur? Peut-être que vous voulez découvrir où se trouve un autre ordinateur? Divers outils gratuits sont disponibles pour vous en dire plus sur un ordinateur et son adresse IP. Lire la suite .

Du carburant s’est ajouté au feu lorsque TeamViewer a connu une panne de service. Cela a été provoqué par une attaque par déni de service (DoS) Qu'est-ce qu'une attaque DDoS et comment cela se produit-il? Qu'est-ce qu'une attaque par DDoS et comment cela se passe-t-il? Savez-vous ce que fait une attaque DDoS? Personnellement, je n'avais aucune idée avant de lire cette infographie. Read More vise à perturber les serveurs DNS (Domain Name System) des entreprises, mais TeamViewer maintient qu'il existe “aucune preuve” lier l'attaque aux comptes d'utilisateurs compromis.

Sécurité du compte utilisateur

Un grand nombre de comptes ont été touchés, mais il n’ya certainement pas de chiffre solide à signaler. Cependant, il semble que la majorité des utilisateurs de TeamViewer concernés n'utilisaient pas l'authentification à deux facteurs. Cela dit, les attaquants présumés semblent avoir utilisé le mot de passe correct pour accéder au compte et lancer une session à distance. La connexion aurait déclenché le processus 2FA, mais la connexion à la session distante ne serait pas.

Certains utilisateurs utilisaient activement leur système, ont remarqué la tentative d'ouverture de session par session distante et ont été en mesure d'annuler la demande. D'autres sont revenus pour trouver une session à distance terminée, tandis que d'autres ne l'ont compris que lorsque leurs comptes de messagerie étaient soudainement remplis de reçus d'achat d'eBay, d'Amazon et de PayPal..

Nick Bradley, responsable de la pratique au sein du groupe de recherche sur les menaces d’IBM, a détaillé sa découverte:

“Au milieu de ma session de jeu, je perds le contrôle de ma souris et la fenêtre TeamViewer apparaît dans le coin inférieur droit de mon écran. Dès que je réalise ce qui se passe, je tue l'application. Puis je me rends compte: j’ai d’autres machines sous TeamViewer!

Je cours en bas où un autre ordinateur est encore en marche. Bas et voici, la fenêtre TeamViewer apparaît. Avant de pouvoir le tuer, l'attaquant ouvre une fenêtre de navigateur et tente d'accéder à une nouvelle page Web. Dès que j'atteins la machine, je révoque le contrôle et ferme l'application. Je vais immédiatement sur le site Web de TeamViewer et change mon mot de passe tout en permettant une authentification à deux facteurs..

Heureusement pour moi, c'étaient les deux seules machines encore sous tension avec TeamViewer installé. La chance pour moi aussi est le fait que j'étais là quand c'est arrivé. Si je n'avais pas été là pour contrecarrer l'attaque, qui sait ce qui aurait été accompli? Au lieu de discuter de la façon dont j'ai failli me faire pirater, je parlerais des graves conséquences de la fuite de mes données personnelles.”

La réponse

La réponse de TeamViewer a été résolue et constante:

“Il n'y a pas de faille de sécurité sur TeamViewer”

C’est la ligne de la société, reprise par plusieurs déclarations de relations publiques publiées ces derniers jours:

“TeamViewer a subi une panne de service le mercredi 1er juin 2016. Cette panne est due à une attaque par déni de service (DoS) visant l'infrastructure du serveur DNS de TeamViewer. TeamViewer a immédiatement réagi pour résoudre le problème et rétablir tous les services.

Certains médias en ligne ont faussement lié l'incident à des déclarations antérieures d'utilisateurs indiquant que leurs comptes avaient été piratés et à des théories sur de potentielles violations de la sécurité chez TeamViewer. Nous n'avons aucune preuve que ces problèmes sont liés.

La vérité est la suivante:

TeamViewer a rencontré des problèmes de réseau en raison de l'attaque DoS contre les serveurs DNS et les a corrigés.

Il n'y a pas de faille de sécurité sur TeamViewer.

Quel que soit l’incident, TeamViewer s’efforce en permanence d’assurer le plus haut niveau possible de protection des données et des utilisateurs..”

De plus, TeamViewer a inversé les rôles de ses utilisateurs en déclarant qu’en l’absence de violation de la part de la société, il est fort probable que les détails de l’utilisateur aient été volés au cours de l’une des autres violations importantes des données et utilisés pour se connecter aux comptes TeamViewer..

TeamViewer pointe vers la réutilisation du mot de passe, ce qui est tout à fait possible compte tenu des récentes grosses violations https://t.co/I8fnJUMpdb

- Troy Hunt (@troyhunt) 1 juin 2016

Appareils de confiance et intégrité des données

Au milieu des rumeurs, TeamViewer a annoncé le lancement de ses programmes Trusted Devices et Data Integrity., “deux nouvelles fonctionnalités de sécurité pour renforcer la protection des données.” J'ai essayé de contacter TeamViewer pour vérifier si ces fonctionnalités étaient planifiées à l'avance ou comme réponse directe au piratage présumé, mais je n'ai encore reçu aucune réponse..

Trusted Devices s'assurera que toute tentative de connexion à un périphérique donné pour la première fois sera confrontée à un défi d'autorisation avant que l'accès ne soit accordé, tandis que Data Integrity imposera une réinitialisation immédiate du mot de passe si un compte affiche une activité suspecte.

Ce qui nous amène à…

Tout cela a entraîné une situation très étrange entre les utilisateurs de TeamViewer et la société elle-même..

TeamViewer sait très bien que quelque chose ne va pas:

“La protection de vos données personnelles est au cœur de tout ce que nous faisons..

Nous apprécions hautement la confiance que vous nous accordez et respectons la responsabilité qui nous incombe de protéger votre vie privée. C'est pourquoi nous ressentons toujours le besoin de prendre toutes les mesures nécessaires pour protéger vos données..

Comme vous l'avez probablement entendu dire, des vols de données à grande échelle sans précédent ont été perpétrés sur des plates-formes populaires de médias sociaux et d'autres fournisseurs de services Web. Malheureusement, les informations d'identification volées lors de ces violations externes ont été utilisées pour accéder aux comptes TeamViewer, ainsi qu'à d'autres services..

Nous sommes consternés par le comportement des cybercriminels et dégoûtés par leurs actions envers les utilisateurs de TeamViewer. Ils ont profité de l’utilisation commune des mêmes informations de compte sur plusieurs services pour causer des dommages..”

Il est possible que le nombre de comptes compromis et les activités frauduleuses se soient déroulés à la suite de la récente violation de données sur MySpace. Combinaison avec d'autres violations importantes, telles que les comptes ajoutés à la violation de LinkedIn Ce que vous devez savoir sur les fuites massives de comptes LinkedIn Ce que vous devez savoir sur les fuites massives de comptes LinkedIn Un pirate informatique vend 117 millions d'identifiants LinkedIn piratés dans le noir Internet pour environ 2 200 dollars en Bitcoin. Kevin Shabazi, PDG et fondateur de LogMeOnce, nous aide à comprendre exactement ce qui est à risque. Lire la suite et le “vieux” Pause Adobe il y a plusieurs années, il y a certainement un nombre important d'informations d'identification d'utilisateurs à gagner au plus offrant.

Mais cette explication ne coupe pas tout à fait la moutarde. Un grand nombre d’utilisateurs ne suivaient pas les meilleures pratiques de protection des données en utilisant 2FA et des mots de passe forts, aléatoires et à usage unique. ne sont pas uniques et incassables, vous pouvez aussi bien ouvrir la porte d’entrée et inviter les voleurs à déjeuner. Lire la suite, il y avait aussi un grand nombre qui étaient - et leurs comptes ont également été compromis. De même, un certain nombre d’utilisateurs avaient effectivement été potentiellement compromis par des violations de données antérieures et avaient trouvé une session à distance active, mais il y avait aussi un grand nombre d’utilisateurs dont les détails étaient confidentiels..

Vérification de votre compte

Si vous souhaitez vérifier immédiatement si votre compte a été consulté ou si l'accès a été tenté par une personne autre que vous-même, accédez au site Web de TeamViewer Management Console. Une fois que vous êtes connecté à votre compte, allez dans le coin supérieur droit et cliquez sur votre nom d'utilisateur, suivi de Editer le profil. Puis sélectionnez Connexions actives. Ceci répertoriera tous les appareils et emplacements ayant accédé à votre compte au cours de la dernière année..

Vous pouvez également vérifier dans vos journaux TeamViewer toute activité non planifiée. Les journaux peuvent être trouvés ici:

C: \ Program Files \ TeamViewer \ TeamViewerXX_Logfile.txt
C: \ Program Files \ TeamViewer \ TeamViewerXX_Logfile_OLD.txt

Dirigez-vous vers votre journal et lisez-le. Recherchez des adresses IP irrégulières. Rechercher dans le journal pour “webbrowserpassview.exe” et si vous obtenez un résultat positif, immédiatement changer tous vos mots de passe.

Non, je ne plaisante pas. Cette application révèle et exporte essentiellement tous les mots de passe de votre navigateur actuellement enregistrés dans un fichier texte facile à lire. Il évite également les mots de passe principaux définis dans Chrome et Firefox. Ce n'est pas un outil de super piratage. Il est ouvertement disponible, mais peut être extrêmement dangereux entre de mauvaises mains.

Vous devriez également vous rendre sur haveibeenpwned.com pour vérifier si l'un de vos comptes a été compromis à votre insu..

Il est temps de prendre au sérieux la sécurité de TeamViewer

Si vous avez un compte TeamViewer, changez immédiatement le mot de passe et activez l'authentification à deux facteurs. Si vous n'êtes pas satisfait, désinstallez simplement TeamViewer jusqu'à la fin de cette débâcle..

Vérifiez vos achats sur eBay, Amazon, PayPal et Apple Store, ainsi que vos transactions bancaires sortantes de la semaine écoulée. Si quelque chose se prépare, contactez directement le fournisseur, expliquez-lui ce qui s'est passé et mentionnez TeamViewer. Cela devrait aider vos affaires à revenir à la normale. Oh, lisez absolument cette liste détaillée des meilleures pratiques TeamViewer par utilisateur de Redditor et TeamViewer, chubbysumo.

C'est une situation difficile à évaluer. On pourrait comprendre le point de vue de TeamViewer. Selon eux, leurs serveurs restent intacts. Ils peuvent toujours offrir leurs services d'accès à distance comme d'habitude. La majorité des utilisateurs peuvent toujours accéder à leurs comptes et utiliser le service tel quel..

Mais cela n'explique pas le nombre considérable de comptes apparemment compromis. Cela n'explique pas non plus comment les utilisateurs avec des mots de passe forts à usage unique sans compromis ont vu leurs comptes piratés de la même manière que ceux avec des informations d'identification déjà volées. Cela n'explique pas non plus pourquoi certains utilisateurs voient encore une quantité considérable de tentatives entrantes d'adresses IP chinois et taïwanais..

TeamViewer aurait également mieux géré la situation dans son ensemble. Réprimander immédiatement les personnes aux prises avec des problèmes évidents liés directement à leur service de bureau à distance est légèrement injuste, étant donné le nombre important de personnes qui déposent une plainte extrêmement similaire. Mais une fois que tout a commencé et que les réponses conservées ont commencé, TeamViewer a limité la portée de leurs réponses futures, tout en minant leur propre réputation et en dévaluant les expériences malheureuses de leurs utilisateurs..

Je ne suis pas tout à fait convaincu que cela peut être la faute d'utilisateurs qui ont des compétences en matière de sécurité. Cependant, j'aimerais voir des preuves plus spécifiques indiquant un piratage réel, un exploit spécifique ou un type de malware qui a “permis” cela se produit avant que davantage de stigmatisation potentiellement injuste ne se répercute sur TeamViewer.

Mise à jour: programmes malveillants de partage de DLL identifiés

TeamViewer m’a contacté directement samedi soir (4 juin 2016), en faisant un “excuses sans réserve” pour les questions en cours, ainsi que pour la répartition “faire des reproches” sur leurs utilisateurs. Ils comprennent comment une partie du langage utilisé dans leurs déclarations de relations publiques aurait pu facilement déranger la base d'utilisateurs.

Cependant, ils maintiennent catégoriquement qu'il n'y a pas de vulnérabilité sous-jacente dans leur service, tout en soulignant qu'ils continuent à utiliser le protocole Secure Remote Password. De plus, TeamViewer a confirmé que leur nouveau “caractéristiques de sécurité ont été effectivement avancées” fournir une assistance supplémentaire à leurs utilisateurs à un moment où leur plate-forme est certainement utilisée “abusé.”

Depuis que cet article a été publié samedi après-midi, j'ai également été alerté par un logiciel malveillant utilisant TeamViewer comme vecteur d’attaque. Le programme malveillant BackDoor.TeamViewer49 est installé via une mise à jour Adobe Flash malveillante sur des ordinateurs déjà en infraction et pourrait constituer une porte dérobée pour les malfaiteurs. Pour clarifier: il ne s'agit pas d'une violation de TeamViewer, mais d'un cheval de Troie utilisant une DLL TeamViewer partagée comme point d'ancrage pour s'établir sur un système..

Avez-vous été affecté par les problèmes rencontrés sur TeamViewer? Avez-vous perdu quelque chose? Avez-vous contacté TeamViewer? Faites-nous savoir vos expériences ci-dessous!

Crédit image: Mugger vous atteignant par agoxa via Shutterstock

En savoir plus sur: piratage informatique, sécurité en ligne, bureau à distance.

« Lancement de TeamViewer 9 bêta avec onglets, notifications, réveil sur réseau local et transfert de fichiers Détachez le calendrier 4 Autres approches de la gestion du temps »