Recevez chaque jour toute l'actualité du numérique

x

Centreon affirme qu'aucun de ses clients payants n'est concerné par la cyberattaque

En réaction au bulletin d'incident de l'Anssi, Centreon explique que les utilisateurs ciblés par cette campagne de compromission utilisaient une version open source "obsolète", qui n'est plus supportée depuis 5 ans. Ainsi, aucun client payant n'est concerné par cette attaque. Cette version a été confirmée par l'Agence de cybersécurité quelques heures plus tard.
Twitter Facebook Linkedin Flipboard Email
×

Centreon affirme qu'aucun de ses clients payants n'est concerné par la cyberattaque
Centreon affirme qu'aucun de ses clients payants n'est concerné par la cyberattaque © Microsoft

L'entreprise française Centreon, éditrice du logiciel de supervision IT du même nom, a donné sa version des faits dans un communiqué en réaction à un bulletin d'incident publié par l'Agence nationale de la sécurité des systèmes d'information (Anssi).

D'après l'Anssi, un groupe de criminels – dont le mode opératoire est proche de celui du russe "Sandworm" – a mené une campagne de cyberattaques contre les serveurs Centreon exposés sur Internet via deux portes dérobés. Cette campagne s'est étalée de fin 2017 jusqu'en 2020.

Aucun client payant touché
Centreon affirme qu'aucun de ses 720 clients payants, parmi lesquels Airbus, Orange, Total, la RATP, n'a été touché par cette campagne de compromission. En effet, l'entreprise explique que "seules une quinzaine d'entités" ont été la cible de cette campagne et qu'elles étaient toutes utilisatrices d'une version open source "obsolète" qui n'est plus supportée depuis 5 ans.

Ces faits ont été finalement confirmés par l'Anssi qui a déclaré que les victimes identifiées "avaient toutes des serveurs hébergeant la solution exposés sur internet, dans des versions logicielles antérieures à 2015 (les versions compromises observées : 2.3.8, 2.4.4, 2.5.2)", d'après un tweet de la journaliste Aude Leroy. Ces informations n'avaient pas été mentionnées dans le bulletin initial. 

Le logiciel n'aurait pas distribué de code malicieux
Par ailleurs, Centreon affirme que le logiciel n'a pas "distribué ou contribué à propager de code malicieux" et qu'aucune activité "malicieuse" n'est été observée à l'heure actuelle. Interrogée par France 24, l'Anssi a confirmé cette version selon laquelle "aucun élément (...) ne permet de supposer de compromission du logiciel avant sa mise en production, ni dans ses dépôts libres, ni chez l'éditeur".

En revanche, concernant l'origine de cette campagne, l'Anssi dit dans son bulletin ne pas être en mesure de préciser "le chemin de compromission initiale exploitée" par les hackers. De son côté, Centreon avance une explication. "Les lignes de code qui sont pointées par l'Anssi sont des lignes qui appartiennent à une version open source", explique un porte-parole à L'Usine Digitale

Ainsi, en pratique, un développeur tiers aurait "ajouté des fichiers supplémentaires clairement identifiés", dont les noms sont plus proches de l'activité "d'un geek" que de celle d'un "espion du FSB (service secret russe, ndlr)", détaille le porte-parole. Ainsi, cet "intégrateur" aurait "créé les conditions d'entrée de Sandworm", ajoute-t-il.

Le logiciel Centreon est également utilisé par l'hôpital de Villefranche-sur-Saône, en tant qu'utilisateur payant, qui a été victime d'un ransomware lundi 15 février au matin. "A priori", la campagne de compromission et cette attaque n'ont "pas de lien", affirme le porte-parole sans donner davantage de détails.

Des similarités avec le mode opératoire de Sandworm
Concernant les auteurs de cette campagne malveillante, aucune accusation n'est faite ni du côté de l'Anssi, ni de celui de Centreon. Seule information : cet incident présente de "nombreuses similarités" avec des campagnes antérieures sur le même modèle que le mode opératoire "Sandworm", d'après l'Agence de cybersécurité. Ce dernier est connu pour mener des campagnes de compromission "larges" puis de cibler les victimes les plus stratégiques.

Cette méthode est traditionnellement attribuée aux services secrets russes. Elle a par exemple déjà été utilisée pour pénétrer dans trois sociétés de distribution d'énergie ukrainiennes en décembre 2015. Cette attaque avait privé d'électricité près de la moitié des 1,4 million d'habitants de la région d'Ivano-Frankivsk pendant plusieurs heures.


La Russie rejette ces accusations
Le Kremlin a jugé "absurde" de considérer que la Russie puisse être derrière une telle cyberattaque. "La Russie n'a jamais eu, n'a pas, et ne peut avoir le moindre rapport avec la cybercriminalité quelle qu'elle soit", a martelé devant la presse le porte-parole du Kremlin, Dmitri Peskov, cité par France 24.

A ce stade, le parquet de Paris n'a pas ouvert d'enquête sur cet incident.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media