La CNIL a été informée de l’existence d'une violation de données concernant plusieurs versions non mises à jour des produits "Pulse Secure", utilisés par un grand nombre d'organismes pour sécuriser les connexions au réseau de leurs employés. Elle alerte sur la nécessité de procéder à la mise à jour de ces outils.
"Pulse Secure" est un outil permettant de créer un réseau privé virtuel (VPN, Virtual Private Network) destiné à sécuriser les échanges entre des machines connectées à distance à un réseau d’entreprise.
La CNIL a récemment été informée qu’une personne ayant exploité une vulnérabilité, présente dans des versions non mises à jour des produits, a publié sur un forum spécialisé au début du mois d'août des informations confidentielles concernant plus de 900 entreprises dans le monde. Ces données comprendraient entre autres les adresses IP de serveurs vulnérables, des clefs privées, une liste des utilisateurs ainsi que des informations de connexion, identifiants et mots de passe, en clair.
La vulnérabilité affectant des versions non mises à jour de certains produits "Pulse Secure", permet à un attaquant d'accéder à des données présentes sur un réseau et en particulier d'y installer un "rançongiciel" (programme capable de rendre inaccessibles les informations enregistrées dans un système d’information et servant de base à une demande de rançon).
Cette vulnérabilité a fait l’objet d’un bulletin d’alerte du CERT-FR ; l’éditeur du logiciel a quant à lui publié un bulletin de sécurité qui détaille les versions concernées et permet de télécharger les mises à jour logicielles corrigeant la vulnérabilité. C’est pourquoi il est recommandé aux organismes qui n’ont pas encore installé cette mise à jour et qui restent donc exposés à cette vulnérabilité de l’appliquer dans les meilleurs délais.
La CNIL recommande également aux organismes concernés de renouveler l’ensemble des mots de passe utilisés sur leurs systèmes. En effet, ces derniers peuvent déjà avoir fait l'objet d'une violation et être vulnérables du fait de la possible récupération par un tiers.
D’une manière générale, la CNIL conseille aux organismes de procéder à des audits de leurs systèmes d’information et à surveiller en particulier les activités suspectes qu’ils pourraient repérer parmi leurs journaux d’activité.
CNIL - Communiqué complet - 2020-08-31
Détail de la vulnérabilité sur le site de l’ANSSI
Rapport de l’ANSSI sur l’état de la menace rançongiciel en France
Communication de l’éditeur Pulse Secure sur les versions correctrices de son logiciel
"Pulse Secure" est un outil permettant de créer un réseau privé virtuel (VPN, Virtual Private Network) destiné à sécuriser les échanges entre des machines connectées à distance à un réseau d’entreprise.
La CNIL a récemment été informée qu’une personne ayant exploité une vulnérabilité, présente dans des versions non mises à jour des produits, a publié sur un forum spécialisé au début du mois d'août des informations confidentielles concernant plus de 900 entreprises dans le monde. Ces données comprendraient entre autres les adresses IP de serveurs vulnérables, des clefs privées, une liste des utilisateurs ainsi que des informations de connexion, identifiants et mots de passe, en clair.
La vulnérabilité affectant des versions non mises à jour de certains produits "Pulse Secure", permet à un attaquant d'accéder à des données présentes sur un réseau et en particulier d'y installer un "rançongiciel" (programme capable de rendre inaccessibles les informations enregistrées dans un système d’information et servant de base à une demande de rançon).
Cette vulnérabilité a fait l’objet d’un bulletin d’alerte du CERT-FR ; l’éditeur du logiciel a quant à lui publié un bulletin de sécurité qui détaille les versions concernées et permet de télécharger les mises à jour logicielles corrigeant la vulnérabilité. C’est pourquoi il est recommandé aux organismes qui n’ont pas encore installé cette mise à jour et qui restent donc exposés à cette vulnérabilité de l’appliquer dans les meilleurs délais.
La CNIL recommande également aux organismes concernés de renouveler l’ensemble des mots de passe utilisés sur leurs systèmes. En effet, ces derniers peuvent déjà avoir fait l'objet d'une violation et être vulnérables du fait de la possible récupération par un tiers.
D’une manière générale, la CNIL conseille aux organismes de procéder à des audits de leurs systèmes d’information et à surveiller en particulier les activités suspectes qu’ils pourraient repérer parmi leurs journaux d’activité.
CNIL - Communiqué complet - 2020-08-31
Détail de la vulnérabilité sur le site de l’ANSSI
Rapport de l’ANSSI sur l’état de la menace rançongiciel en France
Communication de l’éditeur Pulse Secure sur les versions correctrices de son logiciel