Publications et actualités
August 23, 2024

Cyberattaque CDK : comprendre et prévenir les menaces futures

En juin 2024, CDK Global, un important fournisseur de logiciels de gestion de concession automobile, a subit une attaque de ransomware qui a eu de lourdes conséquences pour l'industrie automobile. L'incident a perturbé les activités de nombreux concessionnaires et a entraîné d'importants revers financiers, avec des de pertes de plus d'un milliard de dollars, selon une estimation d'Anderson Economic Group (Michigan).

Les cyberattaques contre les concessionnaires automobiles sont en hausse, avec une augmentation notable du nombre d'incidents signalés ces dernières années. Selon un rapport publié en 2023 par CDK, 17 % des concessionnaires interrogés ont connu des cyberincidents, en hausse par rapport à 15 % l'année précédente.

Photo : Shutterstock.com

De même, entre juillet 2023 et juin 2024, il y a eu 4 582 attaques de rançongiciels connues, soit une augmentation de 33 % par rapport à l'année précédente par rapport à la période précédente. Cette augmentation record a dépassé le précédent record de 3 434 attaques enregistrées entre juillet 2022 et juin 2023.

Non seulement le nombre de ces cybercriminels a augmenté, mais ils ont également intensifié leurs efficacité, avec une réduction drastique du temps entre l'accès initial et le chiffrement, en quelques heures plutôt qu'en semaines.

Dans cet article, Dirox se penche sur les tenants et les aboutissants de cette attaque, en soulignant la nécessité cruciale d'implémenter desstratégies de cybersécurité robustes dans le domaine automobile.

Comprendre la cyberattaque CDK

Comment s'est produite la cyberattaque du CDK ?

18 juin 2024 :

  • CDK Global a été victime d'une cyberattaque et a arrêté la plupart de ses systèmes pour contenir la situation.
  • Plus de 150 000 concessionnaires automobiles en Amérique du Nord ont connu d'importantes perturbations en raison de la panne, qui est cruciale pour leurs opérations quotidiennes. De nombreux concessionnaires ont recours à des processus manuels, ce qui a un impact sur l'efficacité et le service à la clientèle.
  • Certains systèmes ont été restaurés plus tard dans la journée, mais une deuxième attaque a forcé un autre arrêt.

21 juin 2024 :

  • Un groupe de hackers prétendant être basé en Europe de l'Est a demandé une rançon de plusieurs millions de dollars.
  • Le groupe a été identifié comme Costume noir, une organisation cybercriminelle liée à des attaques précédentes qui impliquaient le cryptage et l'exfiltration des données des victimes et l'hébergement de sites publics de fuite de données pour les victimes non conformes
  • Bloomberg News a rapporté que CDK avait prévu de payer la rançon.

22 juin 2024 :

24 juin 2024 :

  • CDK informe les clients que l'arrêt se poursuivra au moins jusqu'à la fin du mois de juin.
  • Un petit groupe de concessionnaires est remis en ligne avec succès pour être testé.

28 juin 2024 :

  • CDK continue de remettre les concessionnaires en ligne par étapes, avec deux petits groupes et un grand groupe restaurés.

1er juillet 2024 :

  • CDK annonce son intention de rétablir les services pour tous les concessionnaires avant le 4 juillet.

4 juillet 2024 :

  • Tous les concessionnaires utilisant CDK devraient être de nouveau en ligne.

Stratégie de communication du CDK

CDK a communiqué en privé avec des mises à jour transparentes et opportunes à ses clients et à ses parties prenantes. L'entreprise a fourni des mises à jour régulières sur l'état de ses systèmes et les mesures prises pour rétablir les services.

Cette approche était essentiel pour gérer les attentes des clients et maintien de la confiance pendant la crise. D'autre part, en gardant la communication privée, ils visaient à empêcher que la situation ne s'aggrave aux yeux du public.

Cependant, les conséquences étaient trop graves pour être réglées simplement par la communication,

Impact sur les concessionnaires et les clients :

L'attaque a eu un impact significatif à la fois sur les concessionnaires et les clients :

Les concessionnaires ont connu de graves perturbations dans leur ventes, la finance, et opérations de service à la clientèle. L'attaque a conduit à pannes du système et performance dégradée, entravant des fonctions critiques telles que le suivi des stocks, le traitement des ventes et la planification des services.

Selon Sonic Automobile les ventes de voitures ont chuté au cours d'une panne d'une semaine à la suite d'une cyberattaque contre son fournisseur de services logiciels, CDK Global, et que l'incident est « raisonnablement susceptible d'avoir un impact significatif » sur ses performances financières.

Cette situation a entraîné de multiples poursuites contre CDK Global, critiquant les restaurations précipitées des systèmes de l'entreprise, qui ont entraîné des violations répétées, principalement de la part d'employés ou de personnes ayant utilisé les services des concessionnaires concernés.

Réponse des clients sur la page Facebook de CDK Global à la suite de l'attaque. Source : Convergence Networks.

Entre-temps, les clients en ont ressenti l'impact en raison des retards et des difficultés liés à l'achat de véhicules, à l'obtention de financement et à la réception d'un service en temps opportun. La perturbation a entraîné services différés, opportunités de vente perdues, et un niveau significatif de frustration parmi les clients.

À long terme, la violation de données a suscité de graves inquiétudes concernant confidentialité et sécurité des données, exposant potentiellement les données sensibles des clients et entraînant vol d'identité et fraude.

Les dommages causés à confiance des clients et le impact négatif potentiel sur les activités futures sont importantes, les experts du secteur demandant des plans d'urgence robustes et cybersécurité renforcée des mesures visant à atténuer les perturbations futures.

Panne technique : comment s'est produite l'attaque ?

Les détails techniques spécifiques concernant les vulnérabilités ne sont pas divulgués publiquement, mais il est évident que l'attaque a tiré parti de faiblesses qui ont permis aux pirates de prendre le contrôle du système et de crypter les données essentielles.

Accès initial

On pense que BlackSuit a utilisé une combinaison de hameçonnage et exploitation des vulnérabilités logicielles.
Des campagnes de phishing ont ciblé les employés de CDK, les incitant à divulgation d'informations d'identification ou installation de logiciels malveillants. Cela reste la méthode la plus courante et la plus efficace pour compromettre la sécurité du réseau.
Dans le même temps, les concessionnaires automobiles se connectent aux services de CDK Global via un VPN toujours actif, permettant aux applications locales de s'interfacer avec la plateforme.

Mouvement latéral : Une fois à l'intérieur du réseau, les attaquants se sont déplacés latéralement. Ils ont utilisé des techniques telles que dumping d'informations d'identification (vol d'informations d'identification dans la RAM) et exploités autorisations faibles pour accéder à des systèmes supplémentaires et à des données sensibles.

Augmentation des privilèges : En obtenant des autorisations de niveau supérieur, les attaquants ont potentiellement pris le contrôle de systèmes critiques en exploitant vulnérabilités logicielles non corrigées ou en tirant parti privilèges administratifs pour étendre davantage l'attaque.

Déploiement de la charge utile : La dernière étape impliquait déploiement d'un ransomware. Les fichiers étaient crypté ce qui a paralysé les activités de CDK, affectant tous les services des concessionnaires qui dépendaient de leurs systèmes. C'est à ce moment-là que les attaquants ont demandé une rançon pour les clés de déchiffrement.

Prévenir de futures attaques :

Face à la complexité croissante des cyberattaques, les concessionnaires doivent renforcer leurs défenses de manière proactive afin de protéger les données sensibles et de conserver la confiance des clients.

Création d'un cadre de cybersécurité solide

Cela implique d'établir des politiques et des procédures claires qui sont régulièrement revus et mis à jour pour répondre aux menaces émergentes. Un cadre complet contribue non seulement à prévention des attaques mais garantit également un rétablissement rapide en cas de violation.

Garanties techniques essentielles

Ce sont les outils qui mettent en œuvre le cadre de cybersécurité. Pare-feux, chiffrement des données et authentification multifactorielle peuvent réduire de manière significative le risque d'accès non autorisé et de vol de données. Ces mesures de protection constituent la première ligne de défense contre les cybermenaces.

Formation des employés

La formation est cruciale car l'erreur humaine entraîne souvent des failles de sécurité. Des sessions d'entraînement régulières sur les meilleures pratiques en matière de cybersécurité peuvent permettre aux employés de reconnaître et d'éviter les menaces potentielles. Une sensibilisation au phishing et gestion sécurisée des mots de passe sont également des compétences essentielles que tous les employés devraient posséder.

Un plan de réponse aux incidents

Les entreprises ont besoin d'un plan qui décrit les mesures à prendre pour minimiser les dommages et les temps d'arrêt. Un plan d'intervention clair et pratique peut faire la différence entre un revers mineur et une perte catastrophique.

L'industrie automobile, avec son vaste réseau de concessionnaires, ses bases de données clients et ses transactions financières, constitue une cible lucrative pour les cybercriminels. En mettant en œuvre ces mesures, les concessionnaires peuvent créer un environnement sécurisé qui protège leurs opérations et préserve l'intégrité des données clients qu'ils détiennent.

Autres cas de ransomware

Nvidia et Lapsus$

En 2022, Nvidia, un important fabricant de puces de jeu, a été victime d'une attaque de ransomware au cours de laquelle les attaquants, connus sous le nom de groupe de rançongiciels Lapsus $, a volé des données sensibles, notamment Code source de Nvidia et détails sur leurs GPU.

Notamment, le code source volé comprenait le limiteur de taux de hachage (LHR), ce qui réduit l'efficacité des puces Nvidia pour le minage de cryptomonnaies.

La rançon de Lapsus$ à Nvidia, publié via Telegram.

Lapsus$ a lancé un ultimatum inhabituel : Nvidia doit autoriser ses cartes graphiques à minez les crypto-monnaies plus rapidement (en supprimant LHR) ou faire face à la publication de leur code source, le joyau de leur couronne. Les attaquants ont également exigé que Nvidia rendre ses pilotes GPU complètement open source.

Nvidia a riposté par... piratage, ils ont essayé d'installer un ransomware sur les ordinateurs de Lapsus$, mais ils n'ont pas pu récupérer leurs données à cause des sauvegardes.

Finalement, pour préserver la confidentialité de ses données, Nvidia a choisi Lapsus$, payer une rançon en cryptomonnaie et accepter de publier des pilotes GPU en open source.

Wanna Cry

L'attaque de WannaCry en 2017 est un exemple bien connu d'attaque par rançongiciel qui a eu un impact significatif. Cela a affecté plus de 200 000 organisations dans 150 pays, y compris les hôpitaux, les banques et les agences gouvernementales.

Message de rançon de WannaCry aux utilisateurs concernés

Le ransomware arrive en tant que compte-gouttes, contenant des composants pour le chiffrement, le déchiffrement et la communication. Il crypte les fichiers sous différents formats (par exemple, fichiers Microsoft Office, MP3) et affiche un avis de rançon.

Diffusé par un collectif de hackers nord-coréen appelé Le groupe Lazarus via une faille dans la mise en œuvre de Microsoft Windows du protocole SMB (Server Message Block), plus de 350 000 appareils ont été concernés dans les quatre jours.

Les entreprises ont souffert de manière significative perte de données, avec des centaines d'enregistrements compromis. Hôpitaux expérimentés annulations de chirurgies en raison de l'effacement des dossiers des patients. Ce qui est encore plus alarmant, les ambulances auraient été redirigées car l'attaque a affecté des informations GPS stockées, mettant potentiellement des vies en danger.

Un chercheur français, Adrien Guinet, a par la suite trouvé un moyen de récupérer la clé RSA des fichiers malveillants, mettant ainsi fin à l'efficacité des attaques. Ceci, combiné aux correctifs de Windows, a mis fin à la diffusion de WannaCry quelques jours après son lancement.

Ces incidents mettent en lumière la dynamique complexe des attaques par rançongiciel et les compromis auxquels les entreprises sont confrontées lorsqu'elles font face à des cybercriminels.

Conclusion

La cyberattaque CDK nous rappelle l'omniprésence des cybermenaces. En comprenant l'attaque, son impact et les mesures préventives, les concessionnaires peuvent renforcer leurs défenses et en sortir plus résilients. Passez à l'action dès aujourd'hui pour élaborer une stratégie de cybersécurité robuste et protéger votre entreprise contre de futures attaques. N'oubliez pas qu'une approche proactive est essentielle pour garantir la sécurité des données de votre concessionnaire et de vos clients.

Contactez Dirox et découvrez comment nos experts en cybersécurité peuvent protéger votre entreprise !

Autres articles
Cursor AI : votre nouvel assistant de codage basé sur l'IA
Dirox annonce la nomination d'un nouveau PDG du groupe : Olivier Hertu
7 annonces majeures de NVIDIA en matière d'IA au SIGGRAPH 2024
Compétition Google AI : MemKeep, solution SilverTech par Dirox
Applications Mobiles : Quels coûts prévoir post-lancement ?
11 tendances du commerce mobile à connaître en 2024
Tout savoir sur le M-Commerce en 2024
7 coûts cachés qui font échouer votre projet logiciel
Créée en 2003 à Ho Chi Minh Ville au Vietnam, notre société de développement logiciel opère à l'échelle mondiale en Asie, en Europe et en Amérique. Nous mettons à votre disposition des équipes complètes de consultants, développeurs, testeurs, et experts IT pour vous apporter des solutions digitales innovantes. Dirox vous offre le meilleur des services d'externalisation et de délocalisation informatique, dans le respect vos délais, budget et attentes.
Dirox s'engage à verser 1 % de ses revenus à chacune des ONG Alliance Anti-Trafic et Mékong Plus pour lutter contre la traite des êtres humains et la pauvreté au Vietnam.
Liens
À propos Études de casBlogCarrières
CARRIÈRES
Nouveau rôle
Rejoignez notre newsletter tech !
France
31 rue Bonaparte - Paris - France
Canada
89 rue Scollard M5R 1G4 - Toronto - Canada
Vietnam
69/4 Nguyện Gia Trí - Rue, quartier 25 - District de Binh Thanh - Ho Chi Minh - Vietnam
Japan
28-4 - Maruyama-cho -Shibuya-ku - Tokyo -Japon
USA
4041 MacArthur Boulevard -Newport Beach - Californie - États-Unis
Hong Kong
Unités 1607 - 8, 16e étage - Citicorp Centre 18 Whitfield Road - Causeway Bay - Hong Kong
Copyright © 2023 Dirox | Tous droits réservés.