Un nouvel incident de cyberattaque sur logiciel de télémaintenance vient frapper le secteur IT. ConnectWise, l’éditeur américain du logiciel d’accès à distance ScreenConnect, a reconnu avoir été la cible d’une attaque informatique orchestrée, selon toute vraisemblance, par un acteur étatique. L’annonce, publiée le 28 mai 2025, suscite de nombreuses questions quant à l’exploitation potentielle de vulnérabilités connues et à la sécurité globale des solutions de support à distance.
Une attaque ciblée avec des origines étatiques
ConnectWise a détecté une activité suspecte dans son environnement informatique, qu’elle attribue à un groupe cybercriminel lié à un État-nation. Selon l’entreprise, seule une « petite portion des clients de ScreenConnect » aurait été affectée par cette intrusion ciblée. Le nom du groupe à l’origine de l’attaque, tout comme la date exacte de l’infiltration, n’ont pas été dévoilés.
Un silence partiel qui interroge
Bien que l’enquête soit en cours, l’éditeur n’a pas communiqué le nombre précis de victimes ni les techniques employées. Pour mener une investigation approfondie, Google Mandiant a été mandaté. Cette firme est spécialisée dans la cybersécurité des entreprises victimes d’attaques complexes.
Des vulnérabilités connues en toile de fond
Fin avril 2025, ConnectWise a corrigé une faille de sécurité majeure : CVE-2025-3935 (score CVSS : 8.1). Cette vulnérabilité dans les anciennes versions de ScreenConnect (jusqu’à la version 25.2.3) permettait potentiellement des attaques par injection de code ViewState en utilisant des clés ASP.NET rendues publiques. Le patch a été publié en version 25.2.4. À ce stade, il n’est pas confirmé si cette vulnérabilité a été exploitée dans l’attaque récente.
Des antécédents alarmants sur ScreenConnect
Ce n’est pas la première fois que le logiciel ScreenConnect est dans le viseur des cybercriminels. Depuis début 2024, plusieurs failles (dont CVE-2024-1708 et CVE-2024-1709) ont été activement exploitées. Ces vulnérabilités ont permis à des hackers de déployer des charges malveillantes, notamment par des groupes évoluant en Chine, en Corée du Nord et en Russie.
Un terrain d’apprentissage pour les passionnés de cybersécurité
Ces incidents mettent en lumière la nécessité de maîtriser les failles connues et les techniques utilisées par les hackers professionnels. Pour les analystes comme pour les curieux souhaitant apprendre le hacking, des ressources comme notre livre pour apprendre à hacker permettent de comprendre les mécanismes d’exploit, les injections ViewState et les vecteurs utilisés dans ce type d’attaque.
Renforcement de la sécurité chez ConnectWise
Face à cette violation, ConnectWise a déclaré avoir mis en place de nouvelles mesures de sécurisation et une surveillance renforcée. L’entreprise affirme qu’aucune activité anormale n’a été détectée depuis. Les clients sont néanmoins invités à s’assurer que leur version de ScreenConnect est bien à jour et que les meilleurs protocoles de sécurité informatique sont appliqués dans leur environnement.
Ce type de cyberattaque met en lumière l’importance des services de détection, de réponse et de conseil en cybersécurité que propose CyberCare aux entreprises concernées par la sécurité de leurs outils logiciels stratégiques.
