L'Anssi, le gardien de la sécurité informatique française, a révélé lundi 15 février dans une note d'information rendue publique, ce qui est rare, une attaque informatique d'ampleur menée depuis au moins 2017 via le le logiciel français Centreon. D'après le document, plusieurs sociétés ou institutions françaises ont été touchées.
- Que fait le logiciel Centreon ?
Centreon est une entreprise de cybersécurité basée à Paris et spécialisée dans la supervision informatique. Elle édite un logiciel, vendu sous la forme d'un abonnement annuel, prisé par les grands groupes et les institutions. Concrètement, sa plateforme permet de centraliser, cartographier, analyser et partager des données provenant de tous les dispositifs et applications informatiques de l'organisation. L'objectif : garantir que les infrastructures informatiques et les activités métier critiques qui dépendent du système informatique, fonctionnent au mieux de leurs capacités.
Le logiciel supervise donc l'intégralité des structures informatiques, du cloud jusqu'à l'edge computing, en permanence. L'entreprise promet également, grâce à sa cartographie des services, de "favoriser l'excellence des performances métiers en alignant les opérations informatiques sur les objectifs de croissance des entreprises".
Centreon revendique de nombreux clients parmi les grands groupes et les institutions, dont EDF, Orange, Airbus, Air France-KLM, Bolloré, Sephora, Canal+ ou encore Total. Son logiciel est également utilisé par le ministère de la Justice.
- Quels sont les détails de l'attaque et qui a-t-elle touché ?
"Les premières compromissions identifiées par l'Anssi datent de fin 2017 et se sont poursuivies jusqu'en 2020", précise l'Anssi dans sa note, qui n'exclut toutefois pas, comme le souligne Centreon dans son propre communiqué, que les attaques aient pu débuter dès 2015.
L'Anssi a constaté sur les systèmes compromis l'existence d'une porte dérobée ou backdoor, c'est-à-dire une fonctionnalité inconnue de l'utilisateur légitime qui donne un accès secret au logiciel. Celle-ci a été déposée sur plusieurs serveurs Centreon exposés sur Internet. Sur ces mêmes systèmes, l'Anssi a identifié la présence d'une autre porte dérobée nommée Exaramel par l'éditeur ESET.
La cyberattaque a principalement touché des prestataires de services informatiques, notamment d'hébergement web. Mais elle pourrait aussi avoir touché de grands groupes et institutions. "Il est possible que des clients de ces prestataires aient été touchés par rebond", souligne auprès de l'AFP Loïc Guezo, le secrétaire général du Clusif, une association de spécialistes français de la cybersécurité. Il n'est pas surprenant que Centreon ait fait l'objet d'une telle attaque, car les outils de supervision installés dans le système d'information (SI) donnent accès à énormément de données.
- Qui est derrière l'attaque ?
L'Anssi a établi que l'attaque présentait "de nombreuses similarités avec des campagnes antérieures du mode opératoire Sandworm", généralement attribué au renseignement militaire russe. Dans son principe, l'affaire rappelle la vaste cyberattaque attribuée à la Russie et visant les Etats-Unis en 2020. Elle consistait à compromettre un autre logiciel de supervision, Solar Winds, développé par une entreprise du Texas et utilisé par des dizaines de milliers de sociétés à travers le monde.
Mais l'Anssi n'accuse toutefois pas explicitement la Russie, conformément à sa pratique de se limiter à l'expertise technique des attaques. L'attribution est une décision politique, qui ne peut se faire uniquement sur des critères techniques pouvant être trompeurs. En revanche, la durée de l'attaque avant d'être découverte laisse en tout cas entrevoir des attaquants "extrêmement discrets, plutôt connus pour être dans des logiques de vol de données et de renseignements", a ajouté le gardien de la sécurité informatique française.
Sujets les + commentés