L'ANSSI a publié un rapport le 15 février concernant une vague de piratage informatique attribuée aux Russes au cours de laquelle les cybercriminels ont pénétré dans les réseaux internes de plusieurs entités françaises utilisant le logiciel de surveillance informatique Centreon. Suite à ce rapport, la société française de logiciels, du même nom que le logiciel, a déclaré mardi qu'aucun de ses clients payants n'a été victime de cette campagne de piratage informatique qui a été révélée lundi.
Selon les détails de l’attaque exposés dans le rapport publié par l'ANSSI, l'agence française de sécurité informatique, la principale agence de cybersécurité du pays, la campagne de piratage a duré entre 2017 et 2020, et visait les entreprises utilisant le produit principal de la société, le logiciel Centreon, utilisé pour la surveillance des ressources informatiques au sein des grandes entreprises.
Le point d'entrée dans les réseaux des victimes était lié à Centreon, un produit similaire en termes de fonctionnalités à la plateforme Orion de SolarWinds. Selon l'ANSSI, les attaquants ont ciblé les systèmes Centreon qui sont restés connectés à Internet. Les pirates, dont on pense qu'ils sont liés au gouvernement russe, ont pénétré dans les entreprises utilisant le logiciel et ont installé des logiciels malveillants pour effectuer une surveillance silencieuse. L'agence française n’ a pas spécifié si les attaques exploitaient une vulnérabilité du logiciel Centreon ou si les attaquants avaient deviné les mots de passe des comptes d'administration.
Mais dans un communiqué de presse publié mardi, Centreon a déclaré qu'aucun de ses principaux clients commerciaux n'avait été touché par ces attaques. Seules les entreprises qui ont téléchargé la version open source de l'application Centreon, que la société fournit gratuitement sur son site Web depuis novembre 2014, ont été touchées, a déclaré Centreon.
« Ce rapport pourrait induire les personnes en erreur en leur faisant croire que les solutions fournies par Centreon présenteraient des failles de sécurité », a déclaré Centreon en parlant du rapport de l’ANSSI.
« La campagne décrite par l'ANSSI concerne exclusivement les versions obsolètes des logiciels open source de Centreon. En effet, l'ANSSI précise que la version la plus récente concernée par cette campagne est la version 2.5.2, sortie en novembre 2014. Non seulement cette version n'est plus prise en charge depuis plus de 5 ans, mais elle a apparemment été déployée sans respect de la sécurité des serveurs et des réseaux, y compris les connexions en dehors des entités concernées ».
« Selon les discussions des dernières 24 heures avec l'ANSSI, seulement une quinzaine d'entités ont été la cible de cette campagne, et qu'elles sont toutes des utilisateurs d'une version obsolète de l'open source (v2.5.2), qui n'est plus prise en charge depuis 5 ans », a déclaré la société française dans son communiqué, en ajoutant que « Depuis cette version, Centreon a publié huit versions majeures ».
Centreon, qui n’a pas immédiatement commenté le rapport de l'ANSSI après la publication le lundi, a dû publier une déclaration le lendemain pour éviter que sa réputation ne soit entachée, à l'instar de la façon dont les entreprises ont commencé à abandonner la plateforme de surveillance de réseaux SolarWinds Orion suite à la nouvelle d'une faille de sécurité majeure en décembre dernier.
Sur son site Web, Centreon répertorie des clients tels qu'Airbus, l'Agence France Presse, Euronews, Orange, Lacoste, Sephora, ArcelorMittal, Total, SoftBank, Air France KLM, ainsi que plusieurs agences gouvernementales et municipalités françaises. Cependant, aucun d'entre eux ne semble avoir été attaqué, selon Centreon. En outre, selon le rapport de l'ANSSI, l'agence de cybersécurité a également déclaré que les attaquants visaient principalement les sociétés d'hébergement Web.
Un lien existant entre les attaques et le groupe Sandworm, qui serait lié à la Direction de renseignement russe
L'agence française de cybersécurité a également établi des liens entre les attaques et un groupe de piratage informatique connu sous le nom de Sandworm, lié l'année dernière par le gouvernement américain à l'unité 74455 de la Direction principale du renseignement russe (GRU), une agence de renseignement militaire faisant partie de l'armée russe. Le lien entre les attaques et Sandworm était l'utilisation d'Exaramel, un type de cheval de Troie à portes dérobées multiplateformes que les attaquants ont installé sur des serveurs après avoir pris pied via le logiciel Centreon. Ce malware a été aperçu par l’agence sur plusieurs serveurs Centreon exposés sur Internet.
L'attaque « rappelle les méthodes déjà utilisées par le groupe Sandworm lié aux services de renseignement russes, mais elle ne garantit pas que ce soit eux », a déclaré à l'AFP Gérôme Billois, expert en cybersécurité de la société de sécurité informatique Wavestone.
Costin Raiu, directeur du Global Research and Analysis Team (GReAT) de Kaspersky Lab, a également déclaré lundi que Sandworm était le seul groupe à avoir été vu utilisant le malware Exaramel décrit dans le rapport de l'ANSSI, confirmant ainsi le rapport de l'agence.
Cependant, le Kremlin a nié mardi que des pirates informatiques russes soient derrière les cyberattaques contre les entreprises françaises. « La Russie n'a jamais eu, n'a pas actuellement et ne pourrait jamais avoir d'implication dans la cybercriminalité », a déclaré aux journalistes le porte-parole du Kremlin, Dmitri Peskov.
Le piratage a eu lieu de 2017 à 2020, a ajouté l'ANSSI dans son rapport. Cette longue période suggère que les attaquants étaient « extrêmement discrets, probablement dans le but de voler des informations ou d'espionner », a déclaré Billois, ajoutant qu'il faudrait du temps pour voir l'ampleur réelle de l'attaque.
Les services de renseignement et les forces de l'ordre américains ont déclaré que la Russie était probablement derrière un piratage massif récemment découvert contre la société américaine SolarWinds, qui vend des logiciels largement répandus dans les ordinateurs du gouvernement et du secteur privé. Le Département d'État, le Département du Commerce, le Trésor, le Département de la Sécurité intérieure, le Département de la défense et les Instituts nationaux de la santé ont depuis admis qu'ils étaient compromis.
Quelque 18 000 clients publics et privés de SolarWinds étaient vulnérables au piratage, selon une déclaration de trois agences de sécurité américaines début janvier. Ces agences de sécurité ont déclaré qu'elles pensaient que le piratage « était, et continue d'être, un effort de collecte de renseignements », plutôt qu'un effort pour voler des secrets d'entreprise ou endommager les systèmes informatiques.
Il est notoirement difficile d'attribuer la responsabilité des attaques de piratage, ce qui signifie que les agences de renseignement et les spécialistes de la cybersécurité refusent souvent de pointer du doigt avec certitude. Ils s'appuient généralement sur les indices laissés par les pirates informatiques et les techniques utilisées pour pénétrer dans les réseaux pour tenter d'identifier les attaquants les plus probables.
Centreon dit être sûr d’une chose, c’est que ses échanges avec l'ANSSI confirment que, contrairement à la situation aux États-Unis avec SolarWinds Orion, son logiciel n'a pas distribué ou contribué à propager des codes malveillants. « Il ne s'agit pas d'une attaque de type chaîne d'approvisionnement et aucun parallèle avec d'autres attaques de ce type ne peut être établi dans ce cas ». Par ailleurs, la campagne en question serait définitivement terminée et qu'aucune activité malveillante ne peut être observée pour le moment.
Centreon a terminé son communiqué de presse en recommandant « à tous les utilisateurs qui ont encore une version obsolète de son logiciel open source en production de le mettre à jour à la dernière version ou de contacter Centreon et son réseau de partenaires certifiés ».
Source : Centreon
Et vous ?
Que pensez-vous des commentaires de Centreon à propos de la longue campagne de cyberespionnage ?
Que pensez-vous des organisations qui gardent en production des versions obsolètes des logiciels ?
Voir aussi :
Président de Microsoft : le piratage de SolarWinds a été « l'attaque la plus importante et la plus sophistiquée » jamais réalisée, les empreintes informatiques de plus de 1000 développeurs trouvées
France : Les hackers de l'État russe ont ciblé les serveurs Centreon dans le cadre d'une campagne qui a duré des années, un rapport de l'ANSSI expose ces nouvelles attaques du groupe Sandworm
Les USA inculpent six agents du renseignement militaire russe pour une série de cyberattaques majeures, dont le wiper NotPetya et l'attaque contre le parti français En marche ! en 2017
États-Unis : le piratage des agences fédérales est « vraisemblablement d'origine russe », selon les agences de sécurité nationale, et semblait être destiné à la « collecte de renseignements »
Seules 15 entités ont été ciblées lors de la récente vague de piratage informatique russe en France, selon Centreon,
Et elles utilisaient des versions open source obsolètes du logiciel
Seules 15 entités ont été ciblées lors de la récente vague de piratage informatique russe en France, selon Centreon,
Et elles utilisaient des versions open source obsolètes du logiciel
Le , par Stan Adkens
Une erreur dans cette actualité ? Signalez-nous-la !