Les limiers de FireEye ont peut-être trouvé l’origine de la terrible cyberattaque de Colonial Pipelines, qui a été contrainte de stopper son réseau d’oléoducs pendant plusieurs jours. Selon Bloomberg, les pirates se seraient introduits dans le réseau informatique de l’entreprise américaine le 29 avril dernier par l’intermédiaire du compte VPN d’un employé. Plusieurs manques ont été constatés. Tout d’abord, ce compte était toujours actif, alors qu’il n’était plus utilisé. Les services informatiques n’ont donc pas bien fait le ménage dans la gestion des comptes utilisateurs.
A découvrir aussi en vidéo :
Par ailleurs, la connexion VPN ne nécessitait aucun autre facteur d’authentification, le mot de passe suffisait. Enfin, il semblerait que l’employé en question ait défini un mot de passe qu’il utilisait déjà ailleurs, car ce code secret a été retrouvé sur le Darknet dans un fichier de mots de passe volés. Cela ne prouve pas que les pirates aient obtenu le mot de passe de cette manière, mais c’est une hypothèse d’autant plus probable que l’employé n’a pas été la cible d’une attaque de phishing. Quand des hackers veulent accéder au compte d’un utilisateur, la première chose qu’ils tentent, c’est d’essayer des mots de passe que cette personne a déjà utilisés ailleurs.
Bref, tout n’est pas encore très clair dans cette affaire, mais il semblerait que cette attaque résulte simplement du choix d’un mauvais mot de passe.
Source: Bloomberg
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
