1 million de dollars pour un 0Day QuickBook

Posted On 19 Juin 2024

Le Service Veille ZATAZ a repéré un pirate informatique prêt à mettre 1 million de dollars sur la table pour une faille QuickBooks.

Recevez les infos de la semaine ZATAZ, chaque samedi, par courriel.

Un 0Day à 1 million de dollars ! Un pirate cherche à acheter une vulnérabilité RCE pour QuickBooks, un logiciel comptable destiné au suivi des revenus et des dépenses. Cl0P veut-il refaire le coup « Accellion » ?

L’histoire du groupe de cybercriminalité Cl0p et de leurs attaques sur les logiciels comptables et d’autres infrastructures critiques est un exemple frappant des menaces croissantes posées par les cyberattaques à travers le monde. La recherche de 0day, une faille informatique inconnue, est une priorité pour certains pirates. Je reviendrai sur Cl0P un peu plus bas dans cet article.

La vulnérabilité 0DAY, ou jour zéro, vise aussi bien les logiciels que le matériel informatique. Le 0Day est découvert par des cybercriminels avant que le développeur ou l’éditeur du logiciel ne soit au courant de son existence. Comme le développeur ne connaît pas encore la faille, il n’existe pas de correctif ou de mise à jour pour la combler. Des entreprises spécialisées dans l’achat et la revente de Zero-Day ont gagné beaucoup d’argent avec ces découvertes, certaines revendant au plus offrant des failles détectées dans des navigateurs, des logiciels et autres appareils mobiles (smartphones, etc.).

À noter que ce business est en perte de vitesse, comme le soulignait récemment Intelligence Online. Des sociétés comme Zerodium sont en perte de vitesse au point que certaines sont en train de fermer. Un petit Schweppes, et ça repart ?

Les inventeurs de 0Day n’ont plus confiance en ces « brokers », qui revendent des failles à des acheteurs souvent « troubles », et à des prix complètement fous. En conséquence, les inventeurs de 0Day préfèrent revendre eux-mêmes leurs découvertes, qu’il s’agisse de la vulnérabilité 0Day ou de l’exploit 0Day. La différence étant que l’exploit 0Day est le code ou la « méthode » utilisé pour tirer parti d’une vulnérabilité 0Day. Les cybercriminels utilisent ces exploits pour infiltrer des systèmes, voler des données ou causer des dommages avant que la faille ne soit découverte et corrigée. C’est ce que pourrait représenter cette recherche de faille pour QuickBooks.

Recevez les infos ZATAZ dans votre téléphone pour ne rien rater des cyber’actus.

Pourquoi s’attaquer à un logiciel comptable ?

QuickBooks est un logiciel de comptabilité développé et commercialisé par Intuit. Il est principalement utilisé par les petites et moyennes entreprises pour gérer leurs finances et leurs opérations comptables. Le pirate veut-il refaire le coup des rançonneurs de Cl0p ? Cl0p est un groupe de cybercriminels spécialisé dans le chantage numérique. Cl0p chiffre les données des victimes et exige une rançon pour les déchiffrer. Apparu pour la première fois vers 2019, Cl0p a rapidement gagné en notoriété grâce à des attaques sophistiquées et bien ciblées. Cl0p, comme des dizaines d’autres groupes de rançonneurs (LockBit, Play, etc.), se distingue par ses tactiques de « double extorsion ». En plus de chiffrer les données, le groupe vole des informations sensibles et menace de les publier si la rançon n’est pas payée.

Parmi les cibles de Cl0p figurent des entreprises de divers secteurs, y compris des firmes utilisant des logiciels comptables sophistiqués. Les logiciels comptables sont particulièrement prisés car ils contiennent des informations financières critiques et des données sensibles sur les clients et les employés. L’une des attaques notables de Cl0p a été dirigée contre Accellion, une entreprise fournissant des solutions de transfert de fichiers sécurisés. Cette attaque a compromis les données de plusieurs grandes entreprises utilisant les services d’Accellion, y compris des logiciels comptables.

Cyberattaques et logiciels professionnels

Les attaques contre les logiciels comptables exploitent souvent des vulnérabilités dans les systèmes non mis à jour ou mal configurés. Les cybercriminels peuvent accéder aux réseaux internes des entreprises, installer des outils dédiés à la prise d’otage numérique, chiffrer les données comptables et voler des informations sensibles. En 2016, par exemple, la société Sage Group, une entreprise britannique de logiciels de gestion comptable, a subi une cyberattaque permettant à des pirates informatiques d’accéder aux informations personnelles et financières de plusieurs centaines d’entreprises clientes de Sage. Les attaquants ont utilisé les identifiants d’un employé pour accéder aux systèmes internes, compromettant ainsi les données sensibles de leurs clients.

En 2017, une campagne massive de phishing (hameçonnage) ciblée a visé des milliers de clients de QuickBooks Online. Les victimes, croyant à des communications légitimes, ont cliqué sur des liens malveillants et fourni leurs identifiants, permettant ainsi aux attaquants d’accéder à leurs comptes QuickBooks et de voler des données financières sensibles. La firme Xero a vécu la même tentative de manipulation de ses clients en 2020.

En 2019, Wolters Kluwer, un fournisseur de solutions de gestion fiscale et comptable, a été victime d’une cyberattaque. L’attaque a conduit à une interruption de service majeure, affectant les utilisateurs des logiciels comptables et fiscaux de CCH. Les cybercriminels ont utilisé des logiciels malveillants pour infiltrer les systèmes de Wolters Kluwer, compromettant ainsi la disponibilité des services pour leurs clients.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.