Depuis quelques jours, l’information tourne sur les réseaux sociaux : TeamViewer aurait été piraté. Quand on se penche de plus près, on voit vite que le problème est plus complexe que cela : de nombreux utilisateurs ont été piratés via ce service d’accès et contrôle à distance d’ordinateurs parce que leur mot de passe, souvent trop simple, a été rendu public. La sécurité du service n’est pas directement mise en cause, même s’il aurait pu mieux protéger les victimes.
TeamViewer est un outil basé sur VNC, un système qui permet d’afficher un appareil distant sur un écran, mais aussi de contrôler cet appareil. C’est un standard très courant, mais ce service le simplifie en proposant de regrouper les informations d’accès derrière un identifiant commun. On crée un compte TeamViewer, on installe un logiciel sur chaque ordinateur et on peut ensuite se connecter à n’importe quel appareil connecté, depuis n’importe quel appareil connecté.
Un confort bien pratique et souvent indispensable en entreprise, mais qui présente un risque. Si quelqu’un a accès au mot de passe de TeamViewer, il aura aussi accès à toutes vos machines associées au compte. Et à partir là, le pouvoir de nuisance est énorme : les victimes se sont fait voler de l’argent via PayPal ou directement depuis les sites de leurs banques. En accédant aux mails ou à n’importe quelle donnée non chiffrée, il y a potentiellement de quoi faire beaucoup de mal.
TeamViewer a reconnu le problème auprès d’Ars Technica, tout en insistant bien : la sécurité de son service n’a jamais été mise en cause. Sauf preuve du contraire, tous les piratages ont été menés avec les identifiants complets des victimes, souvent piochés dans l’une des bases de données de mots de passe qui circulent sur internet. Les utilisateurs qui avaient un mot de passe très long, généré par un logiciel comme 1Password, n’ont pas été touchés. Par ailleurs, même si certains le disent, TeamViewer n’a pas la preuve que son système d’authentification en deux étapes (envoi d’un SMS pour confirmer la connexion) a été compromis.
Suite à cette vague de piratages, TeamViewer annonce deux nouveautés qui renforcent la sécurité de son service : quand un nouvel appareil se connecte à un compte pour la première fois, il faudra lui faire explicitement confiance depuis un appareil déjà utilisé. Des notifications et un mail seront envoyés immédiatement à l’utilisateur, ce qui lui laissera la possibilité de bloquer une personne malveillante, le cas échéant.
Par ailleurs, TeamViewer va mettre en place une analyse de compte pour tenter de détecter les piratages. Par exemple, en cas de connexion depuis un endroit inconnu, l’entreprise pourrait réinitialiser automatiquement votre mot de passe par sécurité, ou au moins vous alerter. D’ici là, si vous utilisez le service, le mieux est encore de changer le mot de passe de votre compte et de couper les clients locaux quand vous n’en avez plus besoin.