La Croix-Rouge a révélé que les données personnelles appartenant à plus d’un demi-million de personnes « hautement vulnérables » ont été compromises par l’abus d’une vulnérabilité non corrigée.

Près d’un mois après avoir détecté et révélé l’intrusion, le Comité international de la Croix-Rouge (CICR) mentionné mercredi 16 février que son enquête s’était heurtée à une attaque « hautement sophistiquée et ciblée ».

Les attaquants avaient optimisé le code malveillant pour les serveurs du CICR et les défenses anti-malware, déployé des techniques d’obscurcissement sophistiquées et utilisé des outils de piratage « principalement utilisés par des groupes de menaces persistantes avancées » afin de « se déguiser en utilisateurs ou administrateurs légitimes », a déclaré l’organisation humanitaire.

Leçons apprises

Le CICR a déclaré avoir mis hors ligne les serveurs compromis après avoir détecté l’attaque du 18 janvier. Il pense que ses serveurs ont été piratés le 9 novembre 2021.

Le vecteur d’attaque était apparemment un contournement critique de l’authentification de l’API REST dans Zoho ManageEngine ADSelfService Plus, une plate-forme de gestion des mots de passe et d’authentification unique (SSO). patché en septembre 2021.

L’échec de l’application du correctif pour cette menace d’exécution de code à distance (RCE) a entraîné des « modifications immédiates » des processus et outils de gestion des vulnérabilités, a déclaré le CICR, ainsi que l’accélération des améliorations de sécurité déjà en place.

Bien qu’elles soient cryptées, les données personnelles telles que les noms, les lieux et les coordonnées de plus de 515 000 personnes du monde entier ont été consultées et probablement exfiltrées, a déclaré le CICR.

Les victimes de violation de données comprennent « les personnes portées disparues et leurs familles, les détenus et d’autres personnes recevant des services du Mouvement de la Croix-Rouge et du Croissant-Rouge à la suite d’un conflit armé, d’une catastrophe naturelle ou d’une migration ».

Le CICR, qui fournit une assistance médicale et autre aux personnes touchées par les conflits et la guerre à l’échelle internationale, a déclaré qu’il n’avait trouvé aucune preuve que les données aient été « publiées ou échangées » ou que les acteurs de la menace aient supprimé des données de ses réseaux.

Le processus «complexe» de notification des victimes implique non seulement des appels téléphoniques, des lignes directes, des annonces publiques et des lettres, mais aussi, dans certains cas, des équipes de la Croix-Rouge se rendant dans des communautés éloignées pour informer les gens en personne, a-t-il déclaré.

« Solutions low-tech »

Les données concernent les activités de Restoring Family Links, un programme de la Croix-Rouge dédié à la réunification des familles prises dans des conflits ou des catastrophes naturelles.

Le programme a d’abord été interrompu à la suite de l’attaque, mais le directeur général du CICR, Robert Mardini, a déclaré dans un lettre ouverte: «Nous avons réussi à garantir que le travail vital de localisation des membres de la famille disparus se poursuive, bien qu’à des niveaux de service minimaux, grâce à des solutions low-tech (à l’aide de simples feuilles de calcul, par exemple), tandis que nous nous efforçons de reprendre un service complet avec des fonctions de sécurité améliorées. ”

La Croix-Rouge se présente comme « neutre, impartiale et indépendante » afin de décourager les attaques contre son personnel lors des conflits – et le directeur général du CICR, Robert Mardini, a appelé à ce que sa neutralité soit reconnue dans l’arène numérique.

« Nous allons maintenant renforcer notre engagement avec les États et les acteurs non étatiques pour exiger explicitement que la protection de la mission humanitaire du Mouvement de la Croix-Rouge et du Croissant-Rouge s’étende à nos actifs et infrastructures de données », a-t-il déclaré. « Nous pensons qu’il est essentiel d’avoir un consensus ferme – en paroles et en actions – sur le fait que les données humanitaires ne doivent jamais être attaquées. »