Accueil Cybersécurité Deux incidents de sécurité chez Stormshield : exfiltration de code source et...

Deux incidents de sécurité chez Stormshield : exfiltration de code source et accès au portail du support clients

La société Stormshield a été victime d’un double incident de sécurité. L’ANSSI, prévenue, a indiqué travailler en étroite collaboration avec les équipes de la société.
 

Incidents majeurs chez Stormshield, un éditeur français de logiciels spécialisés en sécurité informatique, issu en 2013 du rachat et de la fusion par Airbus Defence and Space des entreprises Arkoon Network Security et NetASQ. L’Agence nationale de sécurité des systèmes d’onformation indique qu « à ce stade des investigations » deux incidents distincts ont été identitifés.

Il s’agit d’abord d’un accès non autorisé à des données clients sur un portail Internet de Stormshield destiné à la gestion technique du support clients et partenaires sur les produits. Le spécialiste en cybersécurité a identifié les données auxquelles l’attaquant a eu accès et a indiqué avoir prévenu les clients concernés. Il s’agit de données personnelles et d’échanges techniques associés à certains comptes – 200 d’entre eux sur plus de 10 000.

L’ANSSI précise qu’il est essentiel que « les clients mènent une analyse d’impact en conséquence« . Stormshield nous précise que les 200 clients seulement sont concernés par cette recommandation.

Les qualifications et agréments sous observation

Stormshield a par ailleurs été victime d’une exfiltration du code source de sa gamme de produits Stormshield Network Security. Deux produits sont concernés : les produits Stormshield Network Security et Stormshield Network Security Pare-feu Industriel. Aucun élément ne permet de conclure que « le code source du produit détenu par la société a été altéré par l’attaquant« , selon à la fois Stormshield et l’ANSSI.

Si l’incident ne semble pas avoir eu d’impact opérationnel immédiat pour les clients, il est recommandé d’appliquer une mise à jour fourni par Stormshield. L’ANSSI a précisé qu’elle plaçait pour « la durée des investigations et également par mesure de précaution » les qualifications et agréments des produits SNS (Stormshield Network Security) et (SNI Stormshield Network Security Pare-feu Industriel) sous observation.

Les spécialistes en cyber, nouvelles cibles ?

Le spécialiste français, dont les activités n’ont pas été impactées, dit « être une nouvelle cible pour des attaquants très bien organisés et expérimentés » comme semblent l’être de plus en plus les fournisseurs de solutions de protection contre les cyber-menaces.
L’américain FireEye a été ainsi piraté en décembre dernier par des hackers travaillant pour un Etat, selon lui. Ces pirates ont volé les outils de la FireEye Red Team, son groupe de professionnels de la sécurité : scripts, scanners et techniques utilisés pour aider les entreprises à améliorer leurs postures de sécurité. Suite à une attaque informatique chez SolarWinds, un logiciel malveillant a été injecté dans les paquets de mises à jour du logiciel Orion, qui sert à gérer et surveiller l’infrastructure informatique de parc. Le code source de certains des logiciels Microsoft avait d’ailleurs été infiltré au travers de la faille SolarWinds.

Mais si l’on regarde l’histoire des divers piratages, on notera que d’autres éditeurs de sécurité ont déjà été la proie de hackers par le passé : Symantec en 2006, Bitdefender, Kaspersky, LastPass, les trois en 2015, ou encore Piriform (CCleaner) en 2017, le fournisseur de solutions VPN NordVPN en 2018…