Faille de sécurité AnyDesk 2024 : ce qui s'est vraiment passé

En décembre 2023, des attaquants ont pénétré les systèmes de production d'AnyDesk. Ils ont volé le code source et un certificat privé de signature de code. La faille de sécurité AnyDesk n'a été rendue publique que le 2 février 2024 — soit six semaines après la compromission initiale. Voici ce qui s'est passé, ce qui a vraiment été compromis, et ce que les équipes IT doivent faire aujourd'hui.

Ce que disent les données : Le coût moyen d'une violation de données a atteint 4,88 millions de dollars en 2024, soit la plus forte hausse annuelle depuis le COVID. Les violations impliquant des identifiants volés prennent en moyenne 292 jours à être détectées et contenues. (IBM Cost of a Data Breach Report, 2024)

Qu'est-ce que la faille de sécurité AnyDesk — et quand a-t-elle commencé ?

La faille de sécurité AnyDesk a débuté fin décembre 2023, lorsque des attaquants ont obtenu un accès non autorisé aux serveurs de production d'AnyDesk. Ce n'est pas une attaque par ransomware — aucune rançon n'a été demandée, aucun chiffrement de données n'a eu lieu. Il s'agissait d'une intrusion ciblée sur l'infrastructure d'AnyDesk, visant à exfiltrer des actifs de valeur élevée.

La brèche a été détectée à la mi-janvier 2024, lors d'un audit de sécurité interne. AnyDesk a immédiatement engagé CrowdStrike comme partenaire de réponse aux incidents. La divulgation publique n'est intervenue que le 2 février 2024 — après qu'AnyDesk ait déjà distribué, le 29 janvier, une nouvelle version (v8.0.8) signée avec un nouveau certificat, sous couvert d'une fenêtre de maintenance.

Chronologie vérifiée

| Date | Événement | |------|-----------| | Fin décembre 2023 | Les attaquants accèdent aux serveurs de production d'AnyDesk | | Mi-janvier 2024 | AnyDesk détecte la brèche lors d'un audit de sécurité interne | | 29 janvier 2024 | AnyDesk publie Windows v8.0.8 avec le nouveau certificat de signature ; portail en maintenance | | 29 jan. – 1er fév. 2024 | Maintenance du portail — connexion impossible | | 2 février 2024 | AnyDesk publie sa déclaration publique officielle | | 3 février 2024 | Resecurity signale 18 317 identifiants AnyDesk en vente sur Exploit[.]in | | 6–7 février 2024 | DigiCert révoque le certificat "philandro Software GmbH" |

~6 semainesentre la compromission initiale (déc. 2023) et la divulgation publique (fév. 2024)

Qu'est-ce qui a été compromis dans la faille AnyDesk ?

Quatre éléments ont été confirmés comme compromis lors de la faille de sécurité AnyDesk.

1. Accès aux serveurs de production. Les attaquants ont obtenu un accès non autorisé aux serveurs de production d'AnyDesk — l'infrastructure centrale de l'entreprise.

2. Code source. Le code source propriétaire d'AnyDesk a été volé. Cela expose l'architecture logicielle interne et peut faciliter la découverte ultérieure de vulnérabilités.

3. Certificat privé de signature de code. Le certificat délivré à "philandro Software GmbH" (numéro de série : 0dbf152deaf0b981a8a938d53f769db8, valide depuis le 13 décembre 2021) a été compromis. Ce certificat permettait de signer du code comme s'il provenait officiellement d'AnyDesk.

4. Deux serveurs relais. Des sources indiquent que deux serveurs relais localisés en Europe ont été affectés — bien que les sources divergent sur leur localisation exacte.

Le risque concret du certificat volé : Cybereason a identifié plus de 500 échantillons du malware Agent Tesla signés avec le certificat philandro Software GmbH compromis, apparus sur VirusTotal à partir de juin 2022. Des fichiers malveillants semblaient ainsi authentiques aux yeux des antivirus. AnyDesk précise qu'il n'existe pas de preuve directe que ces signatures sont postérieures à la compromission — mais le risque de chaîne d'approvisionnement est documenté, pas théorique. (Cybereason, 2024)

Ce qui n'a PAS été compromis

AnyDesk a déclaré officiellement, après enquête avec CrowdStrike, que les éléments suivants n'ont pas été affectés :

• Les données de session et connexion des clients — les jetons d'authentification n'existent que sur les appareils des utilisateurs finaux et ne transitent jamais par les serveurs d'AnyDesk
• Les appareils des utilisateurs finaux — aucune preuve qu'un terminal ait été compromis
• Les données personnelles des clients — AnyDesk affirme : "Nous n'avons aucune preuve qu'une donnée client ait été exfiltrée"
• Des modifications malveillantes du code — la revue du code n'a révélé aucune altération
• Des mises à jour malveillantes distribuées — les logiciels téléchargés depuis les sources officielles ont été déclarés sûrs

Les 18 317 identifiants sur le dark web : que s'est-il réellement passé ?

Le 3 février 2024 — un jour après la divulgation officielle d'AnyDesk — la société de cybersécurité Resecurity a signalé la mise en vente de 18 317 identifiants associés à des comptes AnyDesk sur le forum Exploit[.]in, pour 15 000 dollars, par un acteur malveillant surnommé "Jobaaaaa".

Ce point mérite une distinction critique que de nombreux rapports ont manqué.

Ces identifiants ne proviennent presque certainement pas de la faille des serveurs d'AnyDesk. Resecurity l'indique explicitement dans son propre rapport : ces identifiants compromis "sont largement considérés comme le résultat d'infections par des infostealers" — c'est-à-dire des malwares sur les machines des utilisateurs individuels qui ont capturé les mots de passe sauvegardés, et non un vol côté serveur. Resecurity reconnaît elle-même l'incertitude : "les sources et méthodes d'acquisition de données de cette nature peuvent varier selon les TTPs des acteurs".

Le timing est révélateur : les identifiants sont apparus sur Exploit[.]in le 3 février — soit après qu'AnyDesk ait déclaré l'incident résolu. Cela suggère une campagne de monétisation opportuniste, exploitant la couverture médiatique pour vendre des données préexistantes. L'acteur "Jobaaaaa" (actif depuis 2021 sur Exploit[.]in) n'a jamais été attribué à la compromission de l'infrastructure d'AnyDesk.

En résumé : la fuite d'identifiants Resecurity et la brèche de production AnyDesk sont deux incidents distincts qui se sont chevauchés dans le temps. Les traiter comme un seul événement — comme l'ont fait de nombreux reportages — donne une image inexacte de ce qui s'est passé.

18 317identifiants AnyDesk en vente sur Exploit[.]in (provenance probable : infostealers tiers, pas les serveurs AnyDesk)

Comment AnyDesk a-t-il répondu à la faille de sécurité ?

La réponse d'AnyDesk a été rapide sur le plan technique, bien que critiquée pour son manque de transparence initiale.

Actions techniques immédiates :

1. Engagement de CrowdStrike pour l'enquête forensique complète et la réponse aux incidents
2. Remplacement des systèmes de production compromis
3. Publication de la version Windows 8.0.8 le 29 janvier 2024, signée avec un nouveau certificat : "AnyDesk Software GmbH" (série : 0a8177fcd8936a91b5e0eddf995b0ba5)
4. Révocation de tous les certificats compromis — confirmée par DigiCert le 7 février 2024
5. Réinitialisation forcée des mots de passe du portail web pour tous les utilisateurs
6. Contact direct avec les clients concernés

Note sur les binaires signés avec l'ancien certificat : Après révocation, Microsoft SmartScreen a commencé à signaler les binaires signés avec l'ancien certificat philandro Software GmbH comme potentiellement malveillants. Toute installation AnyDesk inférieure à la version 8.0.8 utilisant l'ancien certificat doit être considérée comme non fiable.

Contexte : d'autres incidents dans le secteur du bureau à distance en 2024

La faille de sécurité AnyDesk ne s'est pas produite dans le vide. Deux autres incidents majeurs ont touché le secteur des outils d'accès à distance dans la même période.

TeamViewer — juin 2024 (APT29) : Des attaquants affiliés au groupe APT29 (SVR russe, aussi connu sous le nom "Midnight Blizzard") ont compromis le réseau interne de TeamViewer. L'incident a été contenu à l'annuaire des employés — les environnements produits et les données clients n'ont pas été affectés. Microsoft a assisté à la réponse. À noter : TeamViewer avait également subi une compromission par des hackers chinois (groupe Winnti) en 2016 — et ne l'avait pas divulguée publiquement pendant trois ans, jusqu'en 2019.

ConnectWise ScreenConnect — février 2024 (CVE différent) : Le 19 février 2024, ConnectWise a divulgué CVE-2024-1709, une vulnérabilité critique (CVSS 10.0) d'authentification bypass affectant ScreenConnect versions 23.9.7 et antérieures. Des affiliés LockBit 3.0 l'ont exploitée à grande échelle contre des MSPs. Important : il s'agit d'une CVE de produit, pas d'une brèche d'infrastructure vendeur — c'est mécaniquement différent de la faille AnyDesk. La CISA a ajouté CVE-2024-1709 à son catalogue KEV le 22 février 2024.

Ce que ces incidents révèlent : Les outils d'accès à distance constituent une cible de premier plan pour les attaquants. Qu'il s'agisse d'une compromission d'infrastructure (AnyDesk), d'une intrusion réseau interne (TeamViewer) ou d'une CVE produit (ConnectWise), l'absence d'incident documenté ne garantit pas l'absence de risque — elle reflète seulement ce qui a été divulgué. (Sophos Active Adversary Report, 2024)

90 %des incidents IR gérés par Sophos en 2023 impliquaient un abus du protocole RDP

Ce que les équipes IT doivent faire aujourd'hui

Si votre organisation utilise AnyDesk, voici les actions à prendre — classées par priorité.

Actions immédiates (si ce n'est pas déjà fait) :

1. Vérifier la version installée. Toutes les installations Windows doivent être en version 8.0.8 ou supérieure, signées avec le certificat "AnyDesk Software GmbH". Toute installation antérieure utilisant le certificat "philandro Software GmbH" doit être désinstallée et réinstallée depuis anydesk.com/downloads.
2. Auditer les installations non gérées. Vérifier que les employés n'ont pas installé d'anciennes versions d'AnyDesk sur des machines personnelles utilisées pour le travail.
3. Réinitialiser les mots de passe du portail. AnyDesk a forcé ce changement, mais vérifier qu'aucun compte de service ou compte partagé n'a échappé à la réinitialisation.

Actions de gouvernance à moyen terme :

4. Évaluer l'exposition GDPR/NIS2. Si votre organisation est soumise au RGPD, évaluer si le risque théorique d'exposition des identifiants du portail constitue un incident à notifier à votre autorité de contrôle. L'article 33 du RGPD exige une notification dans les 72 heures en cas de violation susceptible d'affecter des personnes physiques. NIS2 impose des obligations similaires aux prestataires d'infrastructure numérique depuis octobre 2024.
5. Activer l'authentification à deux facteurs. AnyDesk propose la 2FA pour les sessions d'accès à distance — l'activer sur tous les comptes qui ne l'ont pas encore.
6. Revoir votre politique d'autorisation des outils RMM. Définir une liste blanche explicite des outils d'accès à distance autorisés, et bloquer les exécutables non approuvés. CISA a publié des recommandations spécifiques sur l'usage malveillant des outils RMM.

Pour les équipes qui évaluent une migration :

Si la faille AnyDesk a déclenché une révision de votre outil d'accès à distance, notre comparatif des 7 meilleures alternatives AnyDesk en 2026 couvre Splashtop, RustDesk, TeamViewer et Sobrii Remote avec des prix vérifiés et un bilan sécurité honnête.

Implications réglementaires : RGPD et NIS2

La faille de sécurité AnyDesk soulève des questions spécifiques pour les organisations européennes.

RGPD (article 33) : Si AnyDesk est qualifié de sous-traitant au sens du RGPD pour vos données, la compromission de ses systèmes de production peut constituer une violation nécessitant notification à l'autorité de contrôle dans les 72 heures — même en l'absence de preuve d'exfiltration de données clients. La déclaration d'"aucune preuve d'exfiltration" d'AnyDesk atténue le risque, mais ne l'élimine pas nécessairement selon l'interprétation de votre autorité nationale.

NIS2 : Entrée en vigueur en octobre 2024 dans la plupart des États membres, NIS2 impose aux fournisseurs d'infrastructure numérique — catégorie dans laquelle s'inscrit un éditeur de logiciels d'accès à distance — une alerte précoce dans les 24 heures, un rapport complet dans les 72 heures, et un rapport final dans le mois. Les organisations clientes utilisant AnyDesk doivent également évaluer si cet incident constitue un "incident significatif" au regard de leurs propres obligations NIS2.

FAQ — Faille de sécurité AnyDesk

Quand a commencé la faille AnyDesk ? La compromission initiale a eu lieu fin décembre 2023. Elle a été détectée par AnyDesk à la mi-janvier 2024 lors d'un audit de sécurité interne, et divulguée publiquement le 2 février 2024 — soit environ six semaines après la brèche initiale.

AnyDesk est-il sûr à utiliser aujourd'hui ? AnyDesk a remplacé les systèmes compromis, révoqué et remplacé les certificats, et forcé la réinitialisation des mots de passe du portail. CrowdStrike a conduit l'enquête forensique. La version 8.0.8 et ultérieure avec le nouveau certificat est considérée comme sûre par AnyDesk. Aucune modification malveillante du code n'a été trouvée. Cela dit, chaque organisation doit évaluer son propre niveau de tolérance au risque résiduel, notamment en environnement réglementé.

Les 18 317 identifiants volés provenaient-ils des serveurs d'AnyDesk ? Presque certainement pas. Resecurity, qui a signalé la fuite, précise que ces identifiants sont "largement considérés comme le résultat d'infections par des infostealers" — c'est-à-dire des malwares sur les machines des utilisateurs individuels. Ils sont apparus sur le dark web un jour après la divulgation d'AnyDesk, ce qui suggère une campagne opportuniste plutôt qu'une exfiltration directe des serveurs d'AnyDesk.

Qui est responsable de la faille AnyDesk ? L'identité de l'attaquant n'a jamais été divulguée publiquement par AnyDesk ni confirmée par une attribution officielle. Aucun groupe APT spécifique n'a été nommé dans les rapports officiels. Toute attribution à un État-nation trouvée dans des sources secondaires est spéculative.

Mon organisation doit-elle notifier l'incident à une autorité de protection des données ? Cela dépend de votre juridiction, du rôle d'AnyDesk dans votre chaîne de traitement des données, et de l'interprétation de votre autorité nationale. En règle générale, si AnyDesk traite des données personnelles pour votre compte, la compromission de ses systèmes peut déclencher des obligations de notification RGPD. Consultez votre DPO.

AnyDesk a-t-il changé ses tarifs depuis la faille ? Oui — mais indépendamment de la faille. En octobre 2025, AnyDesk a migré vers un modèle de licences basé sur les connexions et augmenté ses tarifs de 26 à 40 %. Les plans actuels (facturation annuelle) débutent à environ 28,90 $/mois pour l'offre Solo.

---

La faille de sécurité AnyDesk illustre un risque structurel propre aux outils d'accès à distance : leur architecture en fait des cibles de premier plan, et la compromission d'un éditeur peut avoir des répercussions sur toute sa chaîne d'utilisateurs — même sans exfiltration directe de données clients. Pour les équipes IT, la leçon n'est pas d'éviter les outils d'accès à distance, mais de les auditer avec la même rigueur que n'importe quelle infrastructure critique.

Comparer les outils d'accès à distance : TeamViewer vs AnyDesk, bilan sécurité complet →

---

Prochaine étape : évaluer votre solution d'accès à distance

Sobrii Remote est une alternative d'accès à distance conçue pour les équipes IT gérant des flottes de postes de travail Windows. Chaque connexion inclut le contexte complet de l'appareil — état de la batterie, santé CPU/GPU, stockage, inventaire logiciel — avant même d'établir la session. Architecture TLS 1.3, chiffrement AES-256, données hébergées en France sur Azure.

Télécharger Sobrii Remote — accès à distance sécurisé pour les flottes IT →

Vous gérez plus de 50 appareils Windows et cherchez une vue consolidée de votre parc ? Sobrii Platform intègre la gestion d'actifs, la santé de la flotte et l'accès à distance dans un seul tableau de bord.