Une attaque informatique a visé des institutions et plusieurs grandes entreprises françaises

par · 16 février 2021

Partagez
Tweetez
Partagez
Enregistrer

Trois ans. C’est le temps qu’il aura fallu pour mettre au jour une attaque informatique menée par le biais d’un logiciel qui édité par l’entreprise Centreon, permet de superviser des applications et des réseaux informatiques. Il a été choisi notamment par Airbus, Thales, Total, Bolloré, EDF, l’École polytechnique, le ministère de la Justice ainsi que par quelques collectivités locales.

En effet, le 15 février, l’Agence nationale de sécurité des systèmes d’information [ANSSI] a publié un rapport [.pdf] dans lequel elle affirme avour été « informée d’une campagne de compromission touchant plusieurs entités françaises », ciblant le logiciel de supervision Centreon.  »

« Les premières compromissions identifiées par l’ANSSI datent de fin 2017 et se sont poursuivies jusqu’en 2020. Cette campagne a principalement touché des prestataires de services informatiques, notamment d’hébergement web », ajoute l’agence de cybersécurité française.

Cette attaque informatique, dont l’objet était visiblement de récupérer des données, n’est pas sans rappeler celle qui, appelée « Sunburst« , a visé le logiciel Orion, édité par la société américain Solarwinds. Lors d’une mise à jour, un « cheval de troie » fut introduit dans les systèmes des entreprises et des administrations clientes à la faveur d’une mise à jour. Par la suite, le programme malveillant créa une porte dérobée sur les systèmes qu’il venait d’infecter, permettant ainsi aux pirates informatiques d’exfiltrer en toute discréton les informations qui les intéressaient, voire d’en détruire.

Selon l’ANSSI, l’attaque ayant visé Centreon a été commise à l’aide du webshell P.A.S. [ou « code encoquillé  » PAS], initialement développé par un étudiant ukrainien. Disponible en source ouverte, l’une de ses versions avait été identifiée par les services américains lors des différentes attaques informatiques ayant visé l’élection de 2016. Pour rappel, ils les avaient attribuées à la Russie.

Par ailleurs, le rapport de l’ANSSI mentionne également l’utilisation de « l’implant Exaramel », qui est une « porte dérobée ». Deux versions ont été identifées : l’une pour les systèmes Windows, l’autre pour les systèmes Linux.

« Les analyses menées par l’ANSSI ont permis de mettre en évidence l’utilisation de l’implant Linux/Exaramel chez plusieurs victimes de la campagne de compromission », indique l’agence qui précise que ses analyses ne lui ont pas permis « d’identifier l’origine du dépôt de cette porte dérobée. »

Rappelant qu’un « mode opératoire est la somme des outils, tactiques, techniques, procédures et caractéristiques mises en œuvre par un ou plusieurs acteurs malveillants dans le cadre d’une ou plusieurs attaques informatiques » et qu’il n’est donc « pas confondre avec un groupe d’attaquants, composé d’individus ou d’organisations », l’ANSSI estime que celui utilisé pour s’attaque au logiciel Centreon rappelle celui connu sous le nom de « Sandworm ».

« Le webshell P.A.S. est disponible en accès libre sur le site du développeur. Il a donc été accessible à de nombreux acteurs. Pris indépendamment des autres indicateurs de compromission, il ne permet pas de lier cette campagne à un mode opératoire », explique l’ANSSI dans un premier temps.

En revanche, « l’outil Linux/Exaramel a quant à lui été analysé par l’entreprise de sécurité informatique ESET » et « celle-ci a noté la proximité de cette porte dérobée avec Industroyer, liée au mode opératoire TeleBots, plus communément connu sous le nom de Sandworm », poursuit l’agence de cybersécurité.

Et cette dernière d’ajouter : « Bien que cet outil puisse être réutilisé assez facilement, l’infrastructure de commande et de contrôle avait déjà été préalablement identifiée par l’ANSSI comme appartenant au mode opératoire Sandworm », lequel est « connu pour mener des campagnes de compromission larges puis pour cibler parmi les victimes celles qui sont le plus stratégiques. »

« Les compromissions observées par l’ANSSI correspondent à ce comportement », insiste l’agence, qui se garde de désigner explicitement les auteurs de cette attaque informatique. En effet, cela relève d’une décision politique.

« La question de l’attribution des attaques est le grand problème du cyber. On a la plupart du temps une idée de qui est derrière, mais on ne peut pas prouver l’origine devant un juge par exemple », avait expliqué son directeur, Guillaume Poupard, en 2019. Aussi, « l’attribution est in fine une décision politique de très haut niveau, orientée par un faisceau d’indices », avait-il ajouté.

Cela étant, en octobre dernier, le mode opératoire « Sandworm » avait été associé par la justice américaine à l’Unité 74455 de la Direction principale du renseignement russe [GRU].

Photo : Ministère des Armées

Tags:

Conformément à l'article 38 de la Loi 78-17 du 6 janvier 1978 modifiée, vous disposez d'un droit d'accès, de modification, de rectification et de suppression des données vous concernant. [Voir les règles de confidentialité]

# Coin des Revues

Silver Series est un recueil de photographies éditées en noir et blanc et classées en six chapitres (WaterGames, SeaScapes, Merchant, Navy, Sailing, AeroNaval)