Utilisé par EDF, Airbus et Orange, le logiciel Centreon a été victime d'une campagne de cyberattaques

Le logiciel de supervision Centreon a été victime d'une campagne de compromission, révèle l'Anssi dans un rapport. Cet outil compte de nombreux utilisateurs, tels qu'Amundi, Air France-KLM, Airbus, Total, la RATP, le ministère de la Justice…, ce qui fait craindre des attaques par rebond. Le mode opératoire utilisé est très proche de celui du groupe d'attaquants russes, connu sous le nom de "Sandworm".

 

Partager
Utilisé par EDF, Airbus et Orange, le logiciel Centreon a été victime d'une campagne de cyberattaques

Dans un rapport d'incident, l'Agence nationale de la sécurité des systèmes d'information (Anssi) rapporte l'existence d'une campagne de compromission touchant "des prestataires de services informatiques notamment d'hébergement web". Elle a ciblé le logiciel de supervision Centreon, édité par l'entreprise française du même nom, de fin 2017 jusqu'en 2020.

Centreon propose aux administrateurs un monitoring en temps réel du système d'information (diagnostic, planification des temps d'arrêts…) et un contrôle d'accès utilisateurs (définition de groupe d'accès, suivi des actions…).


Bolloré, Total, Air France…
Parmi ses utilisateurs, le logiciel compte de nombreuses entreprises françaises telles qu'EDF, Orange, Geodis, Amundi, Air France-KLM, Airbus, Total, Accor, le groupe Bolloré… mais également des organismes publics comme le ministère de la Justice, la RATP, Bordeaux Métropole. Centreon est également utilisé par l'Hôpital Nord-Ouest de Villefranche-sur-Saône, dans le Rhône, qui est actuellement touché par un ransomware.

En pratique, les hackers ont installé une porte dérobée de type "webshell", qui permet un accès et un contrôle à distance à un serveur Web en permettant l'exécution de commandes arbitraires, sur plusieurs serveurs Centreon exposés sur Internet. Une seconde porte dérobée, Exaramel, a également été détectée par l'Anssi.

En revanche, l'Anssi n'est pas capable de dire si ces compromissions sont le fruit de l'exploitation d'une vulnérabilité dans le logiciel Centreon ou de la découverte des mots de passes des comptes administrateurs par les attaquants.

Le mode opératoire d'un acteur russe
D'après l'Anssi, cet incident présente de "nombreuses similarités" avec des campagnes antérieures sur le même modèle que le mode opératoire "Sandworm". Ce dernier est connu pour mener des campagnes de compromission "larges" puis de cibler les victimes les plus stratégiques.

Cette méthode est traditionnellement attribuée aux services secrets russes. Elle a par exemple déjà été utilisée pour pénétrer dans trois sociétés de distribution d'énergie ukrainiennes en décembre 2015. Cette attaque avait privé d'électricité près de la moitié des 1,4 million d'habitants de la région d'Ivano-Frankivsk pendant plusieurs heures.

Centreon n'a pas encore réagi
Mais, dans son rapport, l'Anssi ne dit rien sur l'origine de cette cyberattaque ni sur l'ampleur de ses conséquences sur les entreprises clientes. Son communiqué vise surtout à mettre en garde les entreprises et les organisateurs utilisateurs du logiciel Centreon. De son côté, l'entreprise française, dont le siège social est situé à Paris, n'a pas encore réagi à cette annonce.

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS