Mauvaise nouvelle ce vendredi 3 février : des cybercriminels ont lancé une vague de cyberattaques sur de nombreux sites et applications françaises. Sur son compte Twitter, Arnaud de Bermingham, président et cofondateur de Scaleway, un des plus gros hébergeurs français, relaie l'alerte.

« Le logiciel malveillant se propage extrêmement vite (depuis environ 11h ce matin), et nous avons été alertés de beaucoup de drames chez nos clients aujourd'hui  », écrit-il à La Tribune. Son message trouve écho chez un de ses concurrents, OVHCloud, qui met en garde contre l'incident sur son blog. Concrètement, des cyberattaquants parviennent à s'introduire sur les infrastructures qui opèrent sous d'anciennes versions du système d'exploitation ESXi (édité par le géant VMware), grâce à une vulnérabilité découverte et réparée en 2021.

Ils se servent ensuite de leur accès pour déployer un rançongiciel, qui chiffre les données de la machine, avec pour conséquences de faire tomber en panne les applications et les sites hébergés sur le serveur. « Ne sous-estimez pas ce cryptolocker, il se propage extrêmement vite. Upgradez ou éteignez maintenant vos infrastructures ESXi 6.x ! » insiste Arnaud de Bermingham. Sur Twitter, plusieurs personnes témoignent déjà d'attaques réussies. Si les hébergeurs français semblent particulièrement visées, la méthodologie d'attaque pourrait fonctionner sur n'importe quel hébergeur.

Le gang Nevada derrière la vague d'attaque ?

« Pour l'instant nous avons très peu d'informations. Le logiciel semble être une variante du rançongiciel Nevada », précise le cofondateur de Scaleway. OVHCloud attribue également les attaques au gang Nevada, mais plus d'analyses doivent être menées pour confirmer cette conclusion. Les hébergeurs français travaillent conjointement avec les autorité sur la vague d'attaques, qui semble pour l'instant épargner les hébergeurs américains (AWS, Azure, Google Cloud...). Les cyberattaquants pourraient donc viser en particulier les plages d'IP utilisées par les acteurs français -mais ce n'est pour l'heure qu'une hypothèse.

Peu connu, le gang Nevada a récemment été mis en lumière par un article de recherche de Resecurity daté du 30 janvier, qui mettait en garde sur sa dangerosité. L'organisation cybercriminelle recrute depuis décembre 2022 des affiliés -c'est-à-dire des hackers qui vont se charger de lancer de déployer le rançongiciel développé par l'organisation- sur un forum de cybercriminels sino-russe. Pour attirer de nouveaux partenaires, ils offrent une répartition des revenus très avantageuse en cas de paiement de la rançon, puisqu'ils laissent entre 85% et 90% du butin à l'affilié, quand les standards du marché sont plutôt entre 70% et 80%. Comme tous les opérateurs de rançongiciels, Nevada dispose d'un site de discussion pour négocier les rançons en temps réel.

Sur Twitter, plusieurs victimes évoquent des demandes de rançon à plus de deux bitcoin, soit environ 43.000 euros, en échange d'un outil qui permettrait de réparer les dégâts causés. Dans leur message, les cybercriminels exigent un paiement sous trois jours, sans quoi ils menacent de monter le prix, de publier une partie des données volées, et d'alerter les clients de la victime dont les données seraient touchées. Des menaces malheureusement classiques dans ce genre d'attaques. Les experts en cybersécurité conseillent de ne jamais payer la rançon et de reconstruire l'infrastructure à partir des sauvegardes les plus récentes.

Une attaque au cœur des serveurs

« Quand l'attaquant rentre par l'ESXi c'est comme s'il avait accès à la machine depuis la salle des serveurs », vulgarise pour La Tribune Benoît Grunemwald, expert en cybersécurité chez Eset France. Le logiciel ESXi se trouve sur une couche auquel seuls les administrateurs ont accès en théorie,  qui se trouve au-delà de la face visible par les utilisateurs du site ou de l'app, et même au-delà du back-office, où les développeurs règlent le fonctionnement de l'application. Résultat : en frappant à ce niveau de profondeur, ils font tomber en panne toutes les couches logicielles au-dessus.

Heureusement, se protéger de l'attaque ne semble pas difficile, puisqu'il suffit de mettre à jour ESXi dans sa version 7.0, sortie il y a plus d'un an. Mais comme toujours, ces mises à jour peuvent s'avérer difficiles à déployer. Déjà, il faut avoir les compétences au sein de l'organisation qui gère le serveur. Ensuite, la procédure peut prendre entre 15 minutes et une heure, une durée pendant laquelle l'application ou le site hébergés sur la machine ne fonctionnent pas. Enfin, ces mises à jour peuvent entraîner des dysfonctionnements avec d'autres fonctionnalités. Autrement dit, la mise à jour en urgence peut être un exercice périlleux, bien que nécessaire.

« L'application seule des correctifs n'est pas suffisante. En effet, un attaquant a probablement déjà exploité la vulnérabilité et a pu déposer un code malveillant. Il est recommandé d'effectuer une analyse des systèmes afin de détecter tout signe de compromission », ajoute le CERT-FR (le centre gouvernemental de veille d'alerte et de réponse aux attaques informatiques), dans son alerte sur l'incident.

Les clients « managés » ne sont pas touchés

OVHCloud insiste dans son blog « qu'aucun des services managés n'est impacté par l'attaque ». Autrement dit, les serveurs dont il gère les couches logicielles sont épargnés car suffisamment mis à jour. A l'inverse, les victimes de l'attaque ont leurs propres serveurs hébergés dans les datacenters d'OVHCloud mais ils ne paient pas pour les prestations de maintenance des couches logicielles. S'ils n'ont pas fait attention à leurs mise à jour, personne d'autre n'a la responsabilité de les alerter.

Ce cloud à deux vitesses est souvent discuté par les experts en cybersécurité, car certains clients se contentent de l'offre d'hébergement la plus bon marché sans avoir les compétences en interne pour gérer le risque. Par manque de connaissance, ils peuvent se retrouver dans une position délicate, comme lors de cette vague d'attaques.

François Manens

03 Févr 2023, 19:07

Partager :