Violation de l'appliance Accellion FTA de la Banque de réserve de Nouvelle-Zélande

Le jour de Noël 2020, des attaquants ont pénétré la Banque de réserve de Nouvelle-Zélande (Te Pūtea Matua) en exploitant une vulnérabilité zero-day de l'appliance de transfert de fichiers Accellion (FTA), un outil tiers vieillissant que la banque centrale utilisait pour partager et stocker des fichiers avec des partenaires externes. Elle est devenue l'une des victimes les plus médiatisées d'une campagne mondiale contre le produit Accellion obsolète.

Ce qui s'est passé

L'Accellion FTA était une appliance de transfert de fichiers vieille d'une vingtaine d'années que la Banque de réserve utilisait pour le transfert sécurisé de fichiers, le stockage et la collaboration — ce qui signifie qu'un grand volume d'informations entrantes et sortantes y transitait. En décembre 2020, des attaquants ont enchaîné un ensemble de vulnérabilités zero-day (CVE-2021-27101 à CVE-2021-27104) pour accéder aux instances FTA dans le monde entier et exfiltrer les fichiers qu'elles contenaient.

Le fournisseur de sécurité FireEye avait averti Accellion dès le 16 décembre 2020 que la faille était activement exploitée, et des correctifs existaient. Mais, selon une analyse post-mortem de KPMG, l'outil d'alerte par courriel d'Accellion n'a pas envoyé les notifications, si bien que la Banque de réserve n'a été informée que le 6 janvier 2021 — près de deux semaines après l'intrusion du 25 décembre.

Conséquences

• Le système compromis contenait des informations commercialement et personnellement sensibles appartenant à la Banque et à ses parties prenantes.
• La Banque n'a pas pu quantifier immédiatement ce qui avait été dérobé, compte tenu du volume de données que la FTA avait traité.
• Le gouverneur Adrian Orr a présenté publiquement ses excuses, reconnaissant que la Banque avait été trahie par son fournisseur ainsi que par sa propre supervision du système vieillissant.
• La Banque de réserve a estimé le coût total de la réponse à la violation à environ 3,5 millions de dollars néo-zélandais, couvrant l'enquête forensique, l'examen de KPMG et la remédiation.

Attribution

La Banque de réserve a été l'une des dizaines d'organisations dans le monde — dont des agences gouvernementales, des universités et des entreprises — touchées par les mêmes vulnérabilités de l'Accellion FTA. La campagne plus large a été largement reliée par les chercheurs au groupe à motivation financière FIN11 et à l'opération d'extorsion Clop, qui a utilisé les données dérobées pour extorquer d'autres victimes via un site de fuite.

Pourquoi c'est important

Cette violation est un cas d'école de risque lié aux tiers et aux logiciels vieillissants. Une banque centrale — institution censée respecter les normes de sécurité les plus élevées — a été compromise non pas par ses systèmes centraux mais par une appliance en fin de vie issue d'un fournisseur unique dont le propre mécanisme d'alerte a échoué. Cela a poussé le secteur public néo-zélandais à accélérer le retrait des logiciels non pris en charge, à renforcer les exigences d'assurance fournisseur et à considérer les outils tiers de transfert de fichiers comme une surface d'attaque critique.