Une fuite de données inattendue a secoué le monde de la cybersécurité en juin dernier. Un fichier de clients VirusTotal s’est retrouvé accidentellement sur Internet, exposant une liste de 5 600 noms, parmi lesquels figuraient des employés des services secrets américains de la NSA et des services de renseignement allemands.
VirusTotal est essentiellement une immense base de données de logiciels malveillants. Les utilisateurs peuvent soumettre des fichiers suspects ou des liens vers des sites Web douteux, qui sont ensuite comparés aux bases de données de 70 fabricants d’antivirus pour détecter toute activité suspecte. Cela a permis la création d’une archive mondiale d’outils d’attaque numérique, une précieuse bibliothèque de codes malveillants. Cependant, cette plateforme n’est pas exempte de critiques, car elle peut potentiellement exposer involontairement des données confidentielles, comme l’a averti l’Office fédéral de la sécurité de l’information (BSI) l’année dernière.
Révélations troublantes sur la liste divulguée
La liste, 5 600 clients de VirusTotal, comprend des organismes gouvernementaux de premier plan tels que le Cyber Command américain, le FBI, le département américain de la Justice, la NSA ou encore le service de renseignement allemand MAD. De nombreuses entreprises allemandes sont également concernées, notamment la Deutsche Bahn, la Bundesbank, Allianz, BMW, Mercedes-Benz et Deutsche Telekom. Cette fuite suscite des inquiétudes quant à l’utilisation abusive des données pour l’ingénierie sociale et les attaques de phishing ciblées. Alertés, pas de doute que les « clients » concernés ont changé d’adresse électronique et redoublé de prudence.
Les implications de la fuite de données
Bien que les mots de passe ne soient pas affectés par cette fuite, la liste divulguée permet d’identifier les personnes en charge de la sécurité informatique et de la lutte contre les logiciels malveillants au sein des organisations concernées. Cela pourrait ouvrir la voie à des tentatives d’attaques ciblées contre ces individus. Ce qui rend cette fuite encore plus folle, c’est que VirusTotal appartient à Google. Cette situation soulève des questions sur la sécurité et le contrôle des données chez Google.
Google a rapidement supprimé la liste de la plateforme dès qu’ils ont été informés de la fuite. Ils se sont également engagés à améliorer leurs processus internes et leurs contrôles techniques pour éviter de tels incidents à l’avenir. Le BSI, tout en utilisant VirusTotal comme source d’informations, conseille aux autorités fédérales de ne pas télécharger de fichiers sur cette plateforme. Un courriel de 2022, temporairement retrouvé sur la plateforme de sécurité, montre l’importance de VirusTotal en termes de sécurité informatique et quelles informations critiques peuvent s’y retrouver. Dans ce mail, l’Association allemande pour l’ingénierie des machines et des installations (VDMA) a envoyé un lien vers un portail Web du ministère de l’Intérieur de Rhénanie-Palatinat en tant que service pour ses membres – avec le mot de passe associé.
D’autres entreprises touchées par la fuite, telles que Deutsche Telekom, ont également pris des mesures pour informer leurs employés et prévenir les éventuelles attaques.