Connexion sécurisée via « Pulse secure » : les entreprises utilisant ce logiciel doivent le mettre à jour

La CNIL a été informée de l’existence d’une violation de données concernant plusieurs versions non mises à jour des produits « Pulse secure » utilisés par de nombreuses entreprises pour sécuriser les connexions au réseau de leurs employés. Elle alerte sur la nécessité de mettre à jour ces outils.

« Pulse Secure » est un outil permettant de créer un réseau privé virtuel (VPN, Virtual Private Network) destiné à sécuriser les échanges entre des machines connectées à distance à un réseau d’entreprise.

Une personne ayant exploité une vulnérabilité, présente dans des versions non mises à jour des produits, a publié sur un forum spécialisé au début du mois d'août des informations confidentielles concernant plus de 900 entreprises dans le monde. Ces données comprendraient entre autres les adresses IP de serveurs vulnérables, des clefs privées, une liste des utilisateurs ainsi que des informations de connexion, identifiants et mots de passe, en clair.

La vulnérabilité affectant des versions non mises à jour de certains produits « Pulse Secure », permet à un attaquant d'accéder à des données présentes sur un réseau et en particulier d'y installer un « rançongiciel » (programme capable de rendre inaccessibles les informations enregistrées dans un système d’information et servant de base à une demande de rançon).

Cette vulnérabilité a fait l’objet d’un bulletin d’alerte du CERT-FR ; l’éditeur du logiciel a quant à lui publié un bulletin de sécurité qui détaille les versions concernées et permet de télécharger les mises à jour logicielles corrigeant la vulnérabilité. C’est pourquoi il est recommandé aux organismes qui n’ont pas encore installé cette mise à jour et qui restent donc exposés à cette vulnérabilité de l’appliquer dans les meilleurs délais.

La CNIL recommande également aux organismes concernés de renouveler l’ensemble des mots de passe utilisés sur leurs systèmes.