(AFP) – L’Agence nationale de la sécurité des systèmes d’information (Anssi) a alerté lundi sur la découverte d’une intrusion informatique « touchant plusieurs entités françaises » via le logiciel français Centreon, qui compte parmi ses clients de grandes entreprises et le ministère de la Justice.
« Les premières compromissions identifiées par l’Anssi datent de fin 2017 et se sont poursuivies jusqu’en 2020« , écrit l’Anssi dans un rapport présentant les informations techniques liées à cette campagne d’attaque.
L’Anssi a établi que l’attaque présentait « de nombreuses similarités avec des campagnes antérieures du mode opératoire Sandworm« , généralement attribué au renseignement militaire russe. Mais elle n’accuse toutefois pas explicitement la Russie, conformément à sa pratique de se limiter à l’expertise technique des attaques. La cyberattaque « rappelle les méthodes qui ont déjà été utilisées par le groupe lié au renseignement russe Sandworm, mais ça ne garantit pas que ce soit lui« , a indiqué à l’AFP le spécialiste en cybersécurité du cabinet de conseil Wavestone Gérome Billois. La durée de l’attaque avant d’être découverte laisse entrevoir des attaquants « extrêmement discrets, plutôt connus pour être dans des logiques de vol de données et de renseignements », a-t-il ajouté.
Une solution de pilotage des infrastructures informatiques : applications, réseaux, serveurs
« Centreon a pris connaissance des informations publiées par l’ANSSI ce soir, au moment de la publication du rapport, qui concernerait des faits initiés en 2017, voire en 2015« , a réagi lundi auprès de l’AFP la société Centreon. « Nous mettons tout en oeuvre pour prendre la mesure exacte des informations techniques présentes dans cette publication », a-t-elle ajouté.
Utilisé par de nombreuses entreprises (Airbus, Air France, Bolloré, EDF, Orange ou encore Total) et par le ministère de la Justice, le logiciel Centreon permet de superviser des applications et des réseaux informatiques (voir notre interview en 2019 de Julien Mathis, co-fondateur de Centreon).
« Cette campagne a principalement touché des prestataires de services informatiques, notamment d’hébergement web« , a indiqué l’Anssi. Mais cela peut aussi induire un important « effet de levier » en exposant les données des clients de ces mêmes prestataires, a commenté M. Billois, qui précise qu’il faudra du temps pour évaluer la véritable ampleur de l’attaque.
L’affaire rappelle la vaste cyberattaque attribué à la Russie qui a visé les Etats-Unis en 2020, les pirates profitant d’une mise à jour d’un logiciel de surveillance développé par une entreprise du Texas, SolarWinds, et utilisé par des dizaines de milliers d’entreprises et d’administrations dans le monde.
Un rapport entre l’attaque Sunburst sur le logiciel SolarWinds
et celle-ci ?
Alors que des liens avec l’attaque Sunburst sur le logiciel SolarWinds – qui a affecté beaucoup d’entreprises et institutions, notamment américaines en fin d’année 2020 – tendent à être faits, notamment sur la méthodologie, Félix Aimé,
chercheur en cybersécurité chez Kaspersky, contredit ces liens.
chercheur en cybersécurité chez Kaspersky, contredit ces liens.
« Il y a une différence très marquée entre une attaque par chaîne d’approvisionnement de type « Sunburst » et cette campagne d’attaque. Cette campagne d’attaque a ciblé des installations de Centreon déjà présentes dans différents réseaux informatiques (exploitation de vulnérabilités) tandis que lors de l’attaque associée à « Sunburst », c’est le logiciel distribué aux clients finaux qui comportait plusieurs portes dérobées, préalablement installées par les pirates informatiques et qui étaient alors installées par le biais de mises à jour, automatiquement ».
J. Paoli
