Sécurité : grosse vague de comptes TeamViewer piratés

Nicolas Furno |

Depuis quelques jours, l’information tourne sur les réseaux sociaux : TeamViewer aurait été piraté. Quand on se penche de plus près, on voit vite que le problème est plus complexe que cela : de nombreux utilisateurs ont été piratés via ce service d’accès et contrôle à distance d’ordinateurs parce que leur mot de passe, souvent trop simple, a été rendu public. La sécurité du service n’est pas directement mise en cause, même s’il aurait pu mieux protéger les victimes.

TeamViewer fonctionne sur tous les appareils, ici entre un PC sous Windows et une tablette Android.
TeamViewer fonctionne sur tous les appareils, ici entre un PC sous Windows et une tablette Android.

TeamViewer est un outil basé sur VNC, un système qui permet d’afficher un appareil distant sur un écran, mais aussi de contrôler cet appareil. C’est un standard très courant, mais ce service le simplifie en proposant de regrouper les informations d’accès derrière un identifiant commun. On crée un compte TeamViewer, on installe un logiciel sur chaque ordinateur et on peut ensuite se connecter à n’importe quel appareil connecté, depuis n’importe quel appareil connecté.

Un confort bien pratique et souvent indispensable en entreprise, mais qui présente un risque. Si quelqu’un a accès au mot de passe de TeamViewer, il aura aussi accès à toutes vos machines associées au compte. Et à partir là, le pouvoir de nuisance est énorme : les victimes se sont fait voler de l’argent via PayPal ou directement depuis les sites de leurs banques. En accédant aux mails ou à n’importe quelle donnée non chiffrée, il y a potentiellement de quoi faire beaucoup de mal.

TeamViewer a reconnu le problème auprès d’Ars Technica, tout en insistant bien : la sécurité de son service n’a jamais été mise en cause. Sauf preuve du contraire, tous les piratages ont été menés avec les identifiants complets des victimes, souvent piochés dans l’une des bases de données de mots de passe qui circulent sur internet. Les utilisateurs qui avaient un mot de passe très long, généré par un logiciel comme 1Password, n’ont pas été touchés. Par ailleurs, même si certains le disent, TeamViewer n’a pas la preuve que son système d’authentification en deux étapes (envoi d’un SMS pour confirmer la connexion) a été compromis.

Suite à cette vague de piratages, TeamViewer annonce deux nouveautés qui renforcent la sécurité de son service : quand un nouvel appareil se connecte à un compte pour la première fois, il faudra lui faire explicitement confiance depuis un appareil déjà utilisé. Des notifications et un mail seront envoyés immédiatement à l’utilisateur, ce qui lui laissera la possibilité de bloquer une personne malveillante, le cas échéant.

Par ailleurs, TeamViewer va mettre en place une analyse de compte pour tenter de détecter les piratages. Par exemple, en cas de connexion depuis un endroit inconnu, l’entreprise pourrait réinitialiser automatiquement votre mot de passe par sécurité, ou au moins vous alerter. D’ici là, si vous utilisez le service, le mieux est encore de changer le mot de passe de votre compte et de couper les clients locaux quand vous n’en avez plus besoin.

avatar r e m y | 

Mais si le pirate a accès à toutes les machines du compte, il lui sera facile d'intercepter le mail signalant la connexion d'une nouvelle machine et de valider cette derniere depuis une machine valide!

avatar anti2703 | 

@r e m y :
Bah non car tu n'as pas accès aux machines tant que tu n'as pas valide le mail.
J'ai eu le cas ce matin, teamviewer te refuse l'accès au compte tant que le mail n'as pas été validé ;)

avatar C1rc3@0rc | 

@r e m y

Un fois que tu as accés a un compte, il est facile de changer les informations comme par exemple le numero de portable...
La validation en 2 étapes n'est nullement une garantie et en plus le site (et le pirate) peuvent ainsi identifier le propriétaire avec une information légale: le numéro de téléphone!

Une arnaque que l'on voit souvent ce sont les jeux de tirage au sort ou il faut inscrire son email et son numéro de téléphone en plus de ses nom, prénom, etc... ces informations finissent bien évidement dans des base de données pirates que les filous exploitent pour pirater les comptes de la personnes: la majorité des gens n'ont qu'un ou deux adresse mail et évidement qu'un seul numéro de tel, qui servent pour les banques, les services, etc...

Donc il vaut mieux donner le moins d'informations aux sites, éviter d'utiliser le meme identifiant (e-mail), ne jamais donner de numéro de tel et utiliser des mots de passe de plus de 12 caractères.

avatar Bigdidou | 

@C1rc3@0rc :
"La validation en 2 étapes n'est nullement une garantie et en plus le site (et le pirate) peuvent ainsi identifier le propriétaire avec une information légale: le numéro de téléphone!"

Et alors, il en fait quoi, le pirate, du numéro de téléphone, dans le processus de l'identification en deux étapes par sms ?

avatar jacques_dh | 

Depuis 2-3 semaines environ, je n'arrivais plus à connecter via TeamViewer – en essayant aujourd'hui après avoir lu l'article, ça refonctionne; tant mieux, mais je ne comprends pas! Y a-t-il eu quand même un problème chez eux??

avatar Carbonized | 

TeamViewer a subi une grosse attaque DDoS ces derniers jours, rendant les connexions difficiles.

avatar smaxintosh | 

J'ai team viewer sur une machine que je n'ai pas allumée depuis l'annonce des piratages, aucune chance que je sois concerné si la machine est restée éteinte ?

avatar Ali Ibn Bachir Le Gros | 

Si le pirate tire très fort sur son câble réseau et que ta machine est branchée à Internet, eh bien elle peut venir cogner sur le mur. En plus c'est vrai.

avatar Powerdom | 

@Ali Ibn Bachir Le Gros :
Tu lis trop Lucky Luke toi ;-))

avatar patrick86 | 

"J'ai team viewer sur une machine que je n'ai pas allumée depuis l'annonce des piratages, aucune chance que je sois concerné si la machine est restée éteinte ?"

Changer votre mot de passe est plus sûr.

avatar C1rc3@0rc | 

@smaxintosh

«J'ai team viewer sur une machine que je n'ai pas allumée depuis l'annonce des piratages, aucune chance que je sois concerné si la machine est restée éteinte ?»

Alors, une precision: quand une faille ou un piratage est annoncé c'est qu'il a eu lieu de maniere trop importante pour que la societé puisse le passer sous silence: la regle c'est de ne jamais avertir les media, et d'eviter a avoir a avertir les clients. Donc si ça sort dans les media, c'est que ça fait un moment que le piratage a lieu ou du moins que la faille est presente.

Dans les truc d'administration comme teamviewer, le gros avantage pour le pirate c'est que ça laisse pas de trace!

Une fois que les donnees sur la machines sont scannées, elles viennent constituer des bases de donnees qui se revendent sur le darknet et cela peut prendre des mois avant que les données soient utilisées.

Donc si on est utilisateur de teamviewer la probabilité que les donnees de son ordinateur aient ete aspiré sont enormes, donc faut changer en urgence tous ses mots de passe et info sur ses comptes et avertir sa banque d'un risque.

avatar WiLDCaT | 

Pas d'authentification en 2 étapes par SMS mais par une app. qui grace au QR code affiché à l'écran renvoi un code !

avatar jb18v | 

connexion depuis nouvel endroit, c'est sûr qu'en cas d'usage d'un VPN ça va multiplier les alertes :P

avatar azer0147 | 

C'est surprenant qu'ils n'aient pas mis en place l'authentification a deux étapes avant cet incident... Ça me semble basique pour un tel service

avatar C1rc3@0rc | 

Non, c'est pas fiable. En plus c'est compliqué et TeamViewer sert a administrer, donc a rendre l'usage d'un PC le plus simple possible pour l'utilisateur.

En fait il y a une autre approche qui est l'installation d'une empreinte sur la machine client. Cela necessite une étape initiale a réaliser sur place par l'administrateur (ou le client sous la supervision de l'administrateur avec un protocole de communication des infos sécurisé), mais une fois mis en place cela rend l'identification et la sécurisation bien plus efficace et simple.
Apres il est clair que si la communication ne passe pas par un VPN et que les données sur la machine client ne sont pas chiffrées les risques sont toujours la.

avatar melaure | 

Il est pourtant possible d'utiliser Teamviewer sans compte ... Juste avec le code huit caracteres et le pass sur 4 ...

avatar Pom'Chacha | 

Oui et avec TeamViewer sans compte, il n'y a pas eu de piratage.

@smaxintosh : tu as TeamViewer sur ton ordi mais as-tu un compte chez eux ? Car si tu n'as pas de compte (pour les pro) il n'y a pas de risque.

CONNEXION UTILISATEUR