Cyberattaques : alerte sur la nécessaire mise à jour des hyperviseurs VMWare ESXi

07 février 2023

La CNIL a été informée d’incidents affectant certaines versions d’hyperviseurs VMWare ESXi. Elle alerte sur la nécessité de procéder à la mise à jour de ces outils et rappelle les obligations en matière de notification de violation de données.

Le contexte

La CNIL a récemment été informée d’une vague d’attaques exploitant une vulnérabilité, présente dans certaines versions non mises à jour du système ESXi, de la société VMWare, utilisées par un grand nombre d'organismes pour créer et gérer des machines virtuelles. Elle alerte sur la nécessité de procéder à la mise à jour de cet outil.

La vulnérabilité permet à un attaquant de réaliser une exploitation de code arbitraire à distance et peut donner lieu à l’installation d’un « rançongiciel » (programme capable de rendre inaccessibles les informations enregistrées dans un système d’information et servant de base à une demande de rançon).

Que faut-il faire ?

Appliquer la mise à jour officielle de l’éditeur

Cette vulnérabilité a fait l’objet d’un bulletin d’alerte du CERT-FR; l’éditeur du logiciel a quant à lui publié un bulletin de sécurité qui détaille les versions concernées et permet de télécharger les mises à jour corrigeant la vulnérabilité.

C’est pourquoi il est recommandé aux organismes qui n’ont pas encore installé cette mise à jour et qui sont donc exposés à cette vulnérabilité, de l’appliquer au plus tôt. Dans son alerte, l’ANSSI rappelle que « la mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. ». La CNIL rappelle également que la mise à jour des composants essentiels du système d’information est une mesure de base de la sécurité des données personnelles et doit être mise en place par tous les responsables de traitement et leurs sous-traitants. Il est notamment recommandé de s’abonner aux alertes du CERT-FR ou d’un CERT spécialisé ainsi qu’à celles de ses fournisseurs.

Auditer les systèmes d’information

D’une manière générale, la CNIL conseille aux organismes de procéder à des audits de leurs systèmes d’information et de surveiller en particulier les activités suspectes qu’ils pourraient repérer dans leurs journaux d’activité.

Notifier une violation de données à la CNIL si vous avez subi une attaque exploitant cette vulnérabilité

Les articles 33 et 34 du RGPD définissent les obligations qui incombent au responsable de traitement et qui sont relatives à la notification de violations de données personnelles et à la communication aux personnes.

Si votre organisme est concerné par un incident affectant la disponibilité ou la confidentialité des données personnelles qu’il traite, il convient donc d’analyser la situation pour déterminer si une notification à la CNIL ou une communication aux personnes concernées est nécessaire.

Dans ce cas précis :

  • si la vulnérabilité n’a pas été exploitée, il n’est pas nécessaire de notifier une violation à la CNIL.
  • en revanche, si l’organisme a subi une attaque due à cette vulnérabilité, il convient de déterminer si l’incident a un impact sur les personnes concernées, notamment en cas de perte de disponibilité ou d’extraction de données personnelles : une notification à la CNIL peut, dans ce cas, être nécessaire.

La CNIL rappelle qu’elle a pour mission d’analyser les notifications de violation de données reçues et qu’elle peut assister les responsables de traitement en matière de communication aux personnes concernées.

Par ailleurs, le site cybermalveillance.gouv.fr fournit des conseils pour le traitement des incidents de sécurité et propose des mises en relation avec des prestataires en sécurité informatique référencés sur sa plateforme.