Comme le redoutait Microsoft, des attaques se propagent en exploitant la faille BlueKeep (CVE-2019-0708) logée dans certaines versions de Windows dont XP et Windows 7. Il y a quelques jours, des attaques par force brute ont frappé 1,5 million de serveurs RDP. Parmi les victimes figure peut-être la Fédération française de Basketball (FFBB) dont le système informatique vient d'être infecté par un ransomware. Dans une lettre adressée par email aux 700 000 licenciés de la FFBB, Jean-Pierre Siutat, président de la Fédération, explique que celle-ci est « victime depuis lundi 3 juin à 2h00 du matin d'une cyberattaque d’ampleur qui paralyse une partie [de ses] serveurs ». Il prévient surtout que les données personnelles des licenciés et collaborateurs de la fédération ont pu être compromises.
« Les cyber-attaquants ont pu infiltrer nos réseaux informatiques et ainsi chiffrer, modifier et/ou supprimer un grand nombre de fichiers », expose-t-il aux licenciés et au personnel de l'organisation sportive. Dans cette alerte, M. Siutat désigne la faille BlueKeep comme vecteur de l’attaque, mais après les premiers éléments d’enquête recueillis en interne par les équipes informatiques de la FFBB que nous avons contactées, il n’est pas encore strictement établi que ce soit bien la vulnérabilité CVE-2019-0708 qui ait été exploitée. D’autres détails sur l’attaque doivent être communiqués très rapidement à ce sujet par la FFBB.
Des données peut-être pas exfiltrées
La campagne d'avertissement par email adressée aux licenciés de la FFBB a démarré samedi matin 8 juin, mais tous les destinataires n'ont pas encore reçu la lettre. « Il est possible que des informations telles que vos données d’identité, de sécurité sociale, vos coordonnées personnelles et celles de vos établissements bancaires aient été atteintes et/ou détériorées », avertit le président de la FFBB dans ce message. « Leur confidentialité, leur intégrité – c’est-à-dire notamment leur véracité et/ou leur disponibilité sont compromises. A ce titre, nous vous alertons particulièrement sur les risques liés à l’hameçonnage (« phishing ») ainsi qu’au harponnage (« spear phishing »), dont vous pourriez être la cible. »
Ce faisant, la FFBB recommande aux personnes concernées « la plus grande vigilance vis-à-vis des messages d’un destinataire inconnu » qui pourraient leur être adressés ou dont ils pourraient être l’expéditeur. Toutefois, il semblerait, selon les premiers éléments remontés de l’analyse du trafic réseau par les équipes informatiques de la FFBB, que les données en question n’ont peut-être pas été exfiltrées des serveurs.
BlueKeep, une propagation à la WannaCry
Que la Fédération française de basketball ait été ou pas victime d’une attaque via la faille BlueKeep, cette dernière doit être prise très au sérieux. La semaine dernière, la National Security Agency (NSA) a mis en garde les utilisateurs de Windows contre les dangers de son exploitation. Les attaques menées risquent de se propager sous la forme d’un ver dans un scénario à la WannaCry, ainsi que l’avait craint Microsoft dès le 14 mai dernier. L’éditeur de Redmond avait alors publié un correctif pour corriger cette faille d’exécution de code à distance touchant ses services RDP (Remote desktop services) en enjoignant chaque entreprise concernée de l’appliquer aussi vite que possible.