Menée entre 2017 et 2020 à travers le logiciel français Centreon, l’attaque est considérable. Ce logiciel regroupe parmi ses clients de grandes entreprises et institutions. Parmi elles, on y retrouve notamment le ministère de la Justice, selon les déclarations de l’Agence nationale de la sécurité des systèmes d’information (Anssi). 

Une cyberattaque à l’origine d’une intrusion compromettante

Un grand nombre de sociétés et institutions françaises ont été victimes d’une intrusion informatique. Celle-ci a affecté le logiciel français Centreon au cours des dernières années. Le gardien de la sécurité informatique française, l’Anssi, a dévoilé ces intrusions ce lundi 15 février 2021. De ce fait, il s’est empressé d’informer les responsables de la sécurité informatique. « Les premières compromissions identifiées par l’Anssi datent de fin 2017 et se sont poursuivies jusqu’en 2020 », a précisé l’Anssi dans son communiqué.

L’Anssi ne peut pas affirmer explicitement l’engagement de la Russie dans ces attaques. Cependant, elle met en évidence que le mode opératoire n’est pas inconnu et que l’attaque contenait « de nombreuses similarités avec des campagnes antérieures du mode opératoire Sandworm » (une méthode attribuée aux renseignements militaires Russes). 

En d’autres termes, l’attribution est une décision à dimension politique. De ce fait, elle ne peut pas se fonder sur des critères seulement techniques qui pourraient induire en erreur.  Ainsi, le spécialiste en cybersécurité du cabinet de conseil Wavestone Gérome Billois a déclaré à l’AFP que bien que cette attaque rappelle les méthodes russes, il n’y a aucune preuve que cela vienne également de la Russie.

Des hackers discrets et agiles

Avant que l’attaque soit découverte, plusieurs années ont défilé. Cette agilité laisse à suggérer des attaquants « extrêmement discrets, plutôt connus pour être dans des logiques de vol de données et de renseignements », a aussi détaillé Gérome Billios. 

Centreon, lui, a mentionné « avoir pris connaissance des informations publiées par l’Anssi au moment de la publication du rapport, qui concernerait des faits initiés en 2017, voire en 2015 ».

Le logiciel Centreon permet de contrôler des applications et des réseaux informatiques. La mise à disposition de son service se destine notamment à plusieurs entreprises dont Airbus, Air France, Bolloré, EDF, Orange ou encore Total, et également  au ministère de la Justice.

Des clients touchés par rebond et une enquête en cours

L’Anssi précise aussi que la campagne a « principalement touché des prestataires de services informatiques, notamment d’hébergement web ». Ainsi, elle pourrait avoir impacté des groupes et institutions de renom. « Il est possible que des clients de ces prestataires aient été touchés par rebond », a relaté Loïc Guezo, le secrétaire général du Clusif, le club de la sécurité de l’information. Il affirme aussi qu’il est généralement « exceptionnel » que l’Anssi diffuse une note de cette envergure.

D’après lui, la note est le résultat d’un long travail d’enquête dans des sociétés françaises exposées. Il fait également constat de rapprochements avec des affaires précédentes révélées au grand jour, quelques années auparavant. L’affaire s’apparente ainsi à la cyberattaque de grande ampleur attribuée à la Russie et visant les États-Unis en 2020. C’est le logiciel de supervision Solar Winds qui s’est vu affecté à cette époque. Par ailleurs, des dizaines de milliers d’entreprises dans le monde utilisent ses services. « Les outils de supervision qu’on met dans son système d’information sont souvent des cibles pour les cybercriminels car ils permettent d’accéder à beaucoup de données », a détaillé Gérôme Billois. « Ils sont connus pour être des outils d’amplification d’attaque », a-t-il renchéri.