Une vulnérabilité dans **TrueConf**, un logiciel de visioconférence populaire, fait l'objet d'une exploitation active, ce qui a incité le gouvernement américain à agir de toute urgence. ### Directive de la CISA La **CISA** a émis une directive exigeant que toutes les agences fédérales corrigent la **CVE-2026-3502** d'ici le 16 avril. Cette vulnérabilité dans **TrueConf** a un score de sévérité de 7,8 sur 10, indiquant un risque important. ### Campagne "TrueChaos" L'urgence fait suite à un rapport des chercheurs de **Check Point** détaillant une campagne de piratage, nommée 'TrueChaos', menée présumément par des acteurs chinois. La campagne ciblerait les gouvernements d'Asie du Sud-Est et exploiterait la vulnérabilité **CVE-2026-3502**. **Check Point** a déclaré que l'exploitation a commencé début 2026 et impliquait couramment l'outil de test d'intrusion **Havoc**. Cet outil a été utilisé à plusieurs reprises par des acteurs de la menace chinois au cours de la dernière année. ### Détails de la vulnérabilité Selon **Check Point**, la vulnérabilité réside dans le mécanisme de validation du programme de mise à jour de l'application. Un attaquant qui prend le contrôle d'un serveur **TrueConf** sur site peut exploiter cette faille pour distribuer et exécuter des fichiers arbitraires sur les points de terminaison connectés. Ceci est réalisé via le canal de mise à jour de confiance, où des mises à jour malveillantes sont poussées vers des clients peu méfiants. ### Impact généralisé **TrueConf** est largement utilisé par diverses organisations en Asie, en Europe et dans les Amériques, desservant environ 100 000 organisations dans le monde. Ses utilisateurs principaux comprennent les secteurs gouvernemental, militaire et des infrastructures critiques, où il est apprécié pour sa capacité à garantir la confidentialité des données et l'autonomie des communications, en particulier dans les environnements sécurisés ou distants. **Check Point** souligne l'utilité de **TrueConf** dans les zones à connectivité Internet limitée ou inexistante, ou lors de catastrophes naturelles, facilitant ainsi la coordination essentielle. La possibilité d'héberger le serveur sur du matériel interne permet de contenir tout le trafic audio, vidéo et de chat sur site, avec une activation hors ligne disponible pour les systèmes entièrement isolés. ### Vecteur d'infection Les infections initiales proviennent généralement de liens envoyés aux victimes, les incitant à mettre à jour vers une version plus récente du client **TrueConf**. Cependant, l'attaquant a déjà remplacé le package de mise à jour sur le serveur sur site par une version armée, garantissant que le client récupère un fichier malveillant pendant le processus de mise à jour. Dans un cas, un serveur **TrueConf** sur site compromis, exploité par un département informatique gouvernemental, a servi de plateforme de visioconférence pour de nombreuses entités gouvernementales. Ces entités ont toutes reçu la même mise à jour malveillante. ### Attribution aux acteurs chinois **Check Point** attribue la campagne 'TrueChaos' à des acteurs chinois sur la base des tactiques, techniques et procédures (TTPs) observées, ainsi que de l'utilisation des outils d'hébergement **Alibaba Cloud** et **Tencent**. De plus, la même victime a été ciblée avec le **malware ShadowPad**, un outil connu associé aux acteurs de la menace chinois.