La cyberattaque contre Ticketmaster

Une des plus importantes cyberattaques de l'année pourrait bien être en cours. Ce vendredi 31 mai 2024, Live Nation, l'entreprise derrière Ticketmaster, a confirmé avoir subi une violation de données après que des cybercriminels aient prétendu vendre un demi-milliard de dossiers clients en ligne. Santander, le géant bancaire, a également déclaré que des millions de données de clients et d’employés avaient été compromises par le même groupe de hackers. Les détails exacts de ces violations, notamment quelles informations ont été dérobées et comment, restent flous. Les incidents semblent être liés à des attaques visant des comptes d'entreprises hébergés par Snowflake, un fournisseur de cloud américain comptant parmi ses clients Adobe, Canva et Mastercard, qui y stockent et analysent des masses de données. Les experts en sécurité estiment que d'autres entreprises pourraient bientôt révéler des violations similaires. Actuellement, la situation demeure complexe et confuse. « Snowflake a récemment observé et enquête sur une augmentation des activités de cybermenace ciblant certains des comptes de nos clients », a écrit Brad Jones, responsable de la sécurité de l'information de Snowflake, dans un billet de blog vendredi.

Les premiers signes de ces violations sont apparus le 27 mai, lorsqu'un compte sur le forum cybercriminel Exploit a annoncé la vente de 1,3 To de données Ticketmaster, comprenant des informations sur plus de 560 millions de personnes. Le pirate demandait 500 000 $ pour cette base de données. Le groupe ShinyHunters, connu pour ses vols de données depuis 2020, a ensuite publié la même annonce sur BreachForums, un forum récemment relancé après sa fermeture par le FBI. Le 30 mai, ShinyHunters a affirmé avoir vendu des données de 30 millions de clients et employés de Santander pour 2 millions de dollars. Ces annonces ont ravivé l'intérêt sur le marché illégal. Les deux piratages ont été liés à Snowflake par la société de sécurité israélienne Hudson Rock, qui a publié puis supprimé des conversations avec le hacker affirmant avoir accédé aux systèmes de Snowflake et tenté de revendre les données pour 20 millions de dollars. Hudson Rock a suggéré qu'un employé de Snowflake aurait pu être infecté par un malware voleur d'informations. Charles Carmakal de Mandiant, une société de sécurité appartenant à Google, a également indiqué que des logiciels malveillants voleurs d'informations pourraient être impliqués. Ticketmaster a confirmé que sa base de données volée était hébergée sur Snowflake dans un dossier auprès de la SEC. Santander avait précédemment mentionné un accès non autorisé à une base de données « hébergée par un fournisseur tiers », sans nommer ce dernier. Les autorités mettent en garde contre l'impact potentiel de ces attaques. Le Centre de cybersécurité australien a émis une alerte « élevée », soulignant les compromissions de plusieurs entreprises utilisant les environnements Snowflake. Il conseille de réinitialiser les identifiants de compte, d'activer l'authentification multifactorielle et de surveiller l'activité des utilisateurs. « Il semble que Snowflake ait subi un compromis de sécurité assez grave », a déclaré à WIRED le chercheur en sécurité Troy Hunt, du célèbre site web de notification de violation de données « Have I Been Pwned ».

La société de sécurité Mitiga a révélé qu’un acteur menaçant utilisait un outil d'attaque appelé « rapeflake » contre des bases de données Snowflake. Roei Sherman directeur technique de terrain de chez Mitiga indique que l’on sait peu de choses sur cet outil, mais que l’attaque pourrait avoir des répercussions plus larges à l’avenir. Plusieurs entreprises touchées ont demandé l’aide de Mitiga, et Mandiant a assisté certains clients de Snowflake. Il explique, « Nous n'avons pas encore vu tout le rayon de l'explosion », « Snowflake compte des milliers de clients et certains de leurs clients sont de grandes entreprises. Nous espérons en savoir plus sur d’autres entreprises compromises. »