Économie

La France victime de la campagne de cyber-attaque russe

Plusieurs entreprises ou institutions françaises ont été touchées ces dernières années par une intrusion informatique utilisant le logiciel français Centreon, avec une technique qui rappelle celle du groupe de hackers russe “Sandworm”. Anssi, le gardien français de la cybersécurité, a révélé ces intrusions lundi soir dans une note technique à destination des responsables de la cybersécurité. “Les premiers compromis identifiés par Anssi remontent à fin 2017 et se sont poursuivis jusqu’en 2020”, a déclaré l’agence dans sa note.

Plus précisément, les analystes ont trouvé deux portes dérobées connues sur les serveurs Centreon concernés. Le premier est le webshell PAS, disponible en open source. Le second est Exaramel, que les chercheurs de l’Eset avaient déjà analysé en 2018 dans le cadre d’une attaque menée par le groupe Sandworm alias TeleBots. “Bien que cet outil puisse être réutilisé assez facilement, l’infrastructure de commande et de contrôle avait déjà été identifiée par Anssi comme appartenant au mode de fonctionnement Sandworm”, Fait remarquer Anssi.

De son côté, Centreon a indiqué “Ils ont pris note des informations publiées par Anssi ce soir, au moment de la publication du rapport, qui concerneraient des événements qui ont débuté en 2017, voire en 2015”. “Nous faisons tout notre possible pour prendre la mesure exacte des informations techniques contenues dans cette publication”, elle a ajouté. Utilisé par de nombreuses entreprises (Airbus, Air France, Bolloré, EDF, Orange et même Total) et par le ministère de la Justice, le logiciel Centreon permet de contrôler les applications et les réseaux informatiques.

Clients touchés par le rebond

Selon Anssi, la campagne a fait “Principalement influencé par les fournisseurs de services informatiques, en particulier l’hébergement Web”. Mais cela pourrait aussi avoir affecté de grands groupes et institutions. “Il est possible que les clients de ces fournisseurs aient été affectés par le rebond”, a souligné Loïc Guezo, secrétaire général de Clusif, une association française de spécialistes de la sécurité informatique. En général, c’est “Impressionnant” qu’Anssi publie une telle note, dit-il. Selon lui, la note est clairement le résultat d’une longue enquête sur des entreprises françaises compromises et de rapprochements avec des cas antérieurs révélés publiquement il y a plusieurs années, a-t-il déclaré.

READ  Paiements par carte de crédit sur Internet: ce qui a changé depuis le 1er janvier 2021

En principe, l’affaire rappelle la vaste cyberattaque attribuée à la Russie. Il visait les États-Unis en 2020, par le compromis d’un autre logiciel de supervision, SolarWinds, développé par une société du Texas et utilisé par des dizaines de milliers d’entreprises à travers le monde. Dans ce cas, cependant, on ne sait toujours pas comment les portes dérobées sont arrivées aux serveurs Centreon. “Les analyses d’Anssi n’ont pas permis d’identifier l’origine du dépôt de cette porte dérobée”, préciser l’agence nationale.

“Les outils de supervision que nous mettons dans notre système d’information sont souvent la cible de cybercriminels car ils permettent d’accéder à un grand nombre de données”, explique Gérôme Billois, expert en cybersécurité chez Wavestone, un cabinet de conseil. “Ils sont connus pour être des outils d’amplification des attaques”, Il ajouta. Aux États-Unis, la cyberattaque via SolarWinds a affecté le Département d’État, le Trésor, la Sécurité intérieure et les National Institutes of Health, entre autres. Contactés lundi soir, le ministère de la Justice et d’autres entreprises françaises n’ont pas fait de commentaires immédiats.

Thierry Dufour

"Amoureux de la nourriture. Défenseur de l'alcool. Solutionneur de problèmes. Expert en café. Maven d'Internet pour les hipsters."

Articles similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page
Fermer
Fermer