Suite au piratage de Fujitsu, notamment de son l’outil de partage d’informations baptisé ProjectWEB, des agences gouvernementales japonaises auraient subi des violations de données.
Un exploit ou une attaque ciblée de la chaîne d’approvisionnement ?
Fujitsu déclare que des attaquants ont obtenu un accès non autorisé à des projets utilisant ProjectWEB et ont volé certaines données clients. Impossible jusque-là de savoir s’il s’agit d’un exploit ou d’une attaque ciblée de la chaîne d’approvisionnement. L’enquête est en cours. Les hackers ont accédé à au moins 76 000 adresses email. Le ministère des Terres, des Infrastructures, des Transports et du Tourisme ainsi que le Centre national de cybersécurité (NISC) du Japon ont déclaré que les attaquants avaient pu obtenir des informations privilégiées via l’outil de partage d’informations de Fujitsu.
Fujitsu a par la suite confirmé les faits. Les attaquants avaient effectivement obtenu un accès non autorisé via des projets utilisant ProjectWEB avant de voler des données propriétaires. ProjectWEB de Fujitsu est un outil qui permet entre autres aux entreprises et aux organisations d’échanger des informations en interne, avec les chefs de projet et les parties prenantes. Avec un accès non autorisé aux systèmes gouvernementaux via ProjectWEB, les attaquants ont pu obtenir des informations propriétaires parmi lesquelles les paramètres du système de messagerie en plus des adresses email.
Le portail ProjectWEB suspendu par Fujitsu
Les adresses email des membres du Conseil d’experts font partie des données exfiltrées. Chacun a été notifié individuellement. La presse japonaise a rapporté que l’aéroport international de Narita situé près de Tokyo avait également été touché. Les attaquants de Fujitsu auraient volé des données de contrôle du trafic aérien, des horaires de vol et des informations sur les opérations commerciales. Le ministère japonais des Affaires étrangères est aussi victime d’une fuite de données dans laquelle certains documents d’étude ont été exposés à des acteurs non autorisés.
Le centre national de cybersécurité (NISC) a émis plusieurs avis alertant les agences gouvernementales et les organisations d’infrastructure critique utilisant l’outil de Fujitsu. Il demande de vérifier s’il y a des signes d’accès non autorisé et de fuite d’informations. Fujitsu pour sa part a suspendu son portail ProjectWEB, une suspension qui limitera la portée de l’incident et qui durera le temps de l’enquête. Pour vérifier si une organisation a été touchée par la fuite ou si à un moment donné elle a été client, il suffit de rechercher des traces du domaine soln.jp ou de l’URL du portail dans les journaux réseau. Cette attaque fait écho au piratage de l’outil de partage de fichiers Accellion qui a touché des centaines d’entreprises clientes.
- Partager l'article :