La France lie le ver du sable russe à une série de piratage informatique de plusieurs années

L’armée russe les pirates informatiques connus sous le nom de Sandworm, responsable de tout ce qui concerne coupures de courant en Ukraine à NotPetya, le malware le plus destructeur de l’histoirene sont pas réputés pour leur discrétion. Mais une agence de sécurité française avertit aujourd’hui que des pirates informatiques, avec des outils et des techniques qu’elle relie à Sandworm, ont furtivement piraté des cibles dans ce pays en exploitant un outil de surveillance informatique appelé Centreon – et semblent s’en être tirés sans être détectés pendant trois ans.

Lundi, l’agence française de sécurité de l’information ANSSI a publié un avis d’alerte selon lequel des pirates informatiques ayant des liens avec Sandworm, un groupe au sein de l’agence de renseignement militaire russe GRU, avaient violé plusieurs organisations françaises. L’agence décrit ces victimes comme étant « principalement » des sociétés informatiques et notamment des hébergeurs de sites web. Il est remarquable que l’ANSSI indique que la campagne d’intrusion remonte à la fin de 2017 et s’est poursuivie jusqu’en 2020. Lors de ces intrusions, les pirates semblent avoir compromis des serveurs fonctionnant sous Centreon, vendu par la société du même nom basée à Paris.

Bien que l’ANSSI affirme ne pas avoir pu identifier la manière dont ces serveurs ont été piratés, elle a trouvé sur eux deux logiciels malveillants différents : une porte dérobée accessible au public appelée PAS, et un autre connu sous le nom d’Exaramel, qui La société slovaque de cybersécurité ESET a repéré Sandworm lors d’intrusions précédentes. Bien que les groupes de piratage réutilisent les logiciels malveillants des autres groupes – parfois intentionnellement pour tromper les enquêteurs – l’agence française indique également qu’elle a constaté un chevauchement des serveurs de commande et de contrôle utilisés dans la campagne de piratage Centreon et les incidents de piratage Sandworm précédents.

Bien que l’on ne sache pas vraiment ce que les pirates de Sandworm ont voulu faire au cours de la campagne française de piratage qui a duré des années, toute intrusion de Sandworm suscite l’inquiétude de ceux qui ont vu les résultats des travaux passés du groupe. « Sandworm est lié à des opérations destructrices », explique Joe Slowik, un chercheur de la société de sécurité DomainTools qui a suivi les activités de Sandworm pendant des années, y compris une attaque sur le réseau électrique ukrainien où une première variante de la porte dérobée Exaramel de Sandworm est apparue. « Même si les autorités françaises n’ont documenté aucune fin connue liée à cette campagne, le fait qu’elle ait lieu est inquiétant, car le but final de la plupart des opérations de Sandworm est de provoquer un effet perturbateur notable. Nous devrions être attentifs ».

L’ANSSI n’a pas identifié les victimes de la campagne de piratage. Mais une page du site de Centreon liste des clients dont les fournisseurs de télécommunications Orange et OptiComm, la société de conseil informatique CGI, la société de défense et d’aérospatiale Thales, la société sidérurgique et minière ArcelorMittal, Airbus, Air France KLM, la société de logistique Kuehne + Nagel, la société d’énergie nucléaire EDF et le ministère français de la justice.

Cependant, dans une déclaration envoyée par e-mail mardi, un porte-parole de Centreon a écrit qu’aucun client réel de Centreon n’a été touché par la campagne de piratage. Au contraire, la société affirme que les victimes utilisaient une version open-source du logiciel de Centreon que la société n’a pas supporté depuis plus de cinq ans, et affirme qu’ils ont été déployés de manière non sécurisée, y compris en permettant des connexions depuis l’extérieur du réseau de l’organisation. La déclaration note également que l’ANSSI a compté « seulement une quinzaine » de cibles des intrusions. « Centreon contacte actuellement tous ses clients et partenaires pour les aider à vérifier que leurs installations sont à jour et conformes aux directives de l’ANSSI pour un système d’information sain », ajoute la déclaration. « Centreon recommande à tous les utilisateurs qui ont encore une version obsolète de son logiciel open source en production de le mettre à jour à la dernière version ou de contacter Centreon et son réseau de partenaires certifiés ».

Certains dans le secteur de la cybersécurité ont immédiatement interprété le rapport de l’ANSSI comme suggérant une autre attaque de la chaîne d’approvisionnement des logiciels du type menées contre SolarWinds. Lors d’une vaste campagne de piratage révélée à la fin de l’année dernière, les pirates russes ont modifié l’application de surveillance informatique de cette entreprise et celle-ci a utilisé pour pénétrer un nombre encore inconnu de réseaux qui comprend au moins une demi-douzaine d’agences fédérales américaines.