Chers clients et partenaires,

Nous sommes désolés de vous informer que l’ entreprise 3CX a été victime d’une attaque visant notre produit et la chaîne d’approvisionnement plus large. Notre priorité absolue est d’être transparents en partageant les détails sur les actions que nous prenons en réponse à cet incident et sur ce que nous savons jusqu’à présent. Les informations évoluent rapidement dans le cadre de cette enquête en cours. Nous voulons nous assurer de ne partager que des informations validées avec des mesures concrètes à prendre. Nous continuerons de travailler en étroite collaboration avec nos conseillers de Mandiant pour enquêter sur la manière dont cet incident s’est produit et mettre en place des mesures pour empêcher toute récidive.

Que s’est-il passé ? 

Le 29 mars, 3CX a reçu des rapports d’un tiers concernant un acteur malveillant exploitant une vulnérabilité de notre produit. Nous avons immédiatement pris des mesures pour enquêter sur l’incident, en mandatant Mandiant, l’un des principaux experts mondiaux en cybersécurité. L’enquête initiale suggère que l’incident a été perpétré par un pirate informatique hautement expérimenté et compétent. Nous travaillons en étroite collaboration avec les forces de l’ordre et d’autres autorités.

Que fait 3CX ? 

Avec Mandiant à nos côtés, nous menons une enquête complète. Cela comprend un examen approfondi de la sécurité de notre client Web et de l’application PWA, où les ingénieurs de Mandiant valident l’ensemble du code source de notre application Web et de l’application Electron pour détecter toute vulnérabilité. De plus, nous avons reçu un soutien considérable de l’industrie de la sécurité et de la communauté de recherche pour partager des idées et des données liées à notre enquête.

Que vous recommandons-nous de faire maintenant ?

1. Désinstallez l’application de bureau 3CX Electron de tous les ordinateurs Windows ou Mac OS

2. Poursuivez les analyses antivirus et la solution EDR dans les réseaux de votre organisation pour détecter tout logiciel malveillant potentiel avec les dernières signatures.

3. Passez à l’utilisation de l’application Web PWA plutôt que de l’application de bureau. Lisez-en plus ici et comment passer à PWA.

Pour l’installation, rendez-vous sur le client Web 3CX Cliquez sur « Installer 3CX » en haut de votre barre d’adresse. Cela ne nécessite pas l’installation de binaire et s’exécute dans le bac à sable de votre navigateur.

Comment obtenir les derniers développements ?

3CX saisit cette occasion pour continuer à renforcer ses politiques, pratiques et technologies pour se protéger contre les futures attaques. Pour les derCXniers développements :

Abonnez-vous au flux RSS de 3CX. Ce blog est l’endroit où nous fournirons toutes nos mises à jour sur cette enquête en cours. Forum de support dédié et 3 tickets de support gratuits – Pour répondre à autant de questions que possible, nous avons mis en place un forum d’aide dédié comprenant 3 tickets de support pour tous les utilisateurs.

Pour en savoir plus: https://www.3cx.fr/blog/mise-a-jour-incident-securite