Plusieurs sociétés ou institutions françaises ont été touchées ces dernières années par une intrusion informatique via le logiciel français Centreon, avec une technique rappelant celle du groupe de pirates russes « Sandworm ». L’Anssi, le gardien de la sécurité informatique française, a révélé lundi soir ces intrusions dans une note d’information technique à l’intention des responsables de la sécurité informatique. « Les premières compromissions identifiées par l’Anssi datent de fin 2017 et se sont poursuivies jusqu’en 2020 », a indiqué l’agence dans sa note.
Plus concrètement, les analystes ont trouvé deux portes dérobées connues dans les serveurs Centreon affectés. La première est le « webshell » P.A.S, qui est disponible en source ouverte. La seconde est Exaramel, que les chercheurs d’Eset ont déjà analysé en 2018 dans le cadre d’une attaque réalisée par le groupe Sandworm alias TeleBots. « Bien que cet outil puisse être réutilisé assez facilement, l’infrastructure de commande et de contrôle avait déjà été préalablement identifiée par l’Anssi comme appartenant au mode opératoire Sandworm », souligne l’Anssi.
De son côté, Centreon a indiqué « avoir pris connaissance des informations publiées par l’Anssi ce soir, au moment de la publication du rapport, qui concernerait des faits initiés en 2017, voire en 2015 ». « Nous mettons tout en œuvre pour prendre la mesure exacte des informations techniques présentes dans cette publication », a-t-elle ajouté. Utilisé par de nombreuses entreprises (Airbus, Air France, Bolloré, EDF, Orange ou encore Total) et par le ministère de la Justice, le logiciel Centreon permet de superviser des applications et des réseaux informatiques.
Clients touchés par rebond
Selon l’Anssi, la campagne a « principalement touché des prestataires de services informatiques, notamment d’hébergement web ». Mais elle pourrait aussi avoir touché de grands groupes et institutions. « Il est possible que des clients de ces prestataires aient été touchés par rebond », a souligné Loïc Guezo, le secrétaire général du Clusif, une association de spécialistes français de la cybersécurité. D’une manière générale, il est « exceptionnel » que l’Anssi publie une telle note, a-t-il souligné. Selon lui, la note est manifestement issue d’un long travail d’enquête dans des sociétés françaises compromises, et de rapprochements avec des affaires antérieures publiquement révélées il y a plusieurs années, a-t-il estimé.
Dans son principe, l’affaire rappelle la vaste cyberattaque attribuée à la Russie. Elle a visé les États-Unis en 2020, via la compromission d’un autre logiciel de supervision, SolarWinds, développé par une entreprise du Texas, et utilisée par des dizaines de milliers d’entreprises à travers le monde. Dans le cas présent, toutefois, on ne sait encore comment les portes dérobées sont arrivées sur les serveurs Centreon. « Les analyses de l’Anssi n’ont pas permis d’identifier l’origine du dépôt de cette porte dérobée », précise l’agence nationale.
« Les outils de supervision qu’on met dans son système d’information sont souvent des cibles pour les cybercriminels car ils permettent d’accéder à beaucoup de données », a expliqué Gérôme Billois, expert cybersécurité chez Wavestone, un cabinet de conseil. « Ils sont connus pour être des outils d’amplification d’attaque », a-t-il ajouté. Aux États-Unis, la cyberattaque via SolarWinds a notamment touché le département d’État, le Trésor, la Sécurité intérieure et les Instituts nationaux de la Santé. Contactés lundi soir, le ministère de la Justice et d’autres entreprises françaises n’ont pas fait de commentaire immédiat.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.