Incident de sécurité AnyDesk

Le 2 février 2024, l’éditeur AnyDesk, a émis une alerte concernant une faille de sécurité affectant son application de bureau à distance. Selon l'entreprise, le code source de l’utilitaire ainsi que des certificats et des clés privées auraient été exfiltrés. De fait, des individus malveillants pourraient mener de nouvelles attaques ciblant les utilisateurs d'AnyDesk. Des mesures correctives ont été rapidement mises en œuvre, notamment le renouvellement de certificats et de mots de passe compromis.

Le 5 février 2024, l’éditeur a publié une nouvelle communication informant les utilisateurs que toutes les versions d’AnyDesk obtenue à partir des sources officielles peuvent être utilisées en toute sécurité. Ils ont en effet confirmé que le code source de leur agent n'a pas été falsifié. Cependant, il est recommandé de mettre à jour vers les dernières versions 7.0.15 et 8.0.8 sur Windows et vers la version 8.0.0 sur macOS.
Par précaution, les mots de passe des comptes clients sur le portail my.anydesk.com ont été réinitialisés. 

Le CERT-FR propose dans son bulletin de sécurité des mesures conservatoires à mettre en place à tous les utilisateurs d’AnyDesk. 

Il est notamment recommandé de surveiller les journaux d’activités depuis le 20 décembre 2023 pour détecter toutes activités suspectes, ainsi que de bloquer toute application signée avec le certificat compromis pour se prémunir contre d'éventuelles menaces une fois mis à jour.

Certificat Windows : 
fingerprint : 9cd1ddb78ed05282353b20cdfe8fa0a4fb6c1ece
serial : 0dbf152deaf0b981a8a938d53f769db8
lundi 13 décembre 2021 01:00:00
jeudi 9 janvier 2025 00:59:59
CN = philandro Software GmbH
O = philandro Software GmbH
L = Stuttgart
S = Baden-Württemberg
C = DE

Certificat macOS : 

fingerprint : 4a1dfb9aa37809b3a123e0ac750bf370469ebaeb
serial : 2379881731619607111 (0x210709d364a0d247)
Valide à partir du: mardi 8 juin 2021 11:04:30
Valide jusqu'au: mardi 9 juin 2026 11:04:29 
CN = Developer ID Application: philandro Software GmbH (KU6W3B6JMZ)
OU = KU6W3B6JMZ
O = philandro Software GmbH
C = DE

L’ANSSI met à disposition l‘outil FastFind (uniquement pour les environnements Windows) pour vérifier la présence de l’application AnyDesk avec le certificat compromis.

Des chercheurs de Resecurity ont identifié dans un rapport plusieurs acteurs de la menace vendant l'accès à des identifiants AnyDesk compromis sur des forums de cybercriminels. Ces identifiants de comptes compromis auraient été obtenus via des infections d'infostealers et ne seraient pas liés à l’incident de sécurité. Cependant, ces informations d’authentification restent attractives pour des attaquants.