La cité tarnaise est “revenue au crayon et au papier” depuis lundi suite à une cyberattaque qui immobilise l’ensemble de ses services. L’ANSSI a été appelée à l’aide pour rétablir ces derniers au plus vite.

L’ANSSI a émis hier une alerte relative à une campagne en cours visant des organisations françaises. Cette vague d’attaques est menée par APT31, un groupe malveillant soupçonné d’être aux ordres de Pékin et spécialisé dans l’espionnage industriel.

L’ANSSI a émis hier une alerte relative à une campagne en cours visant des organisations françaises. Cette vague d’attaques est menée par APT31, un groupe malveillant soupçonné d’être aux ordres de Pékin et spécialisé dans l’espionnage industriel.

L’ESN a annoncé hier avoir reçu de l’ANSSI le fameux Visa de sécurité, qui couvre les activités qualifiées PDIS (Prestataire de Détection de Incidents de Sécurité).

L’ESN a annoncé hier avoir reçu de l’ANSSI le fameux Visa de sécurité, qui couvre les activités qualifiées PDIS (Prestataire de Détection de Incidents de Sécurité).

Centreon, éditeur de l'outil de supervision d'applications, réseaux et serveurs du même nom qui a été la cible d'une campagne d'attaque selon le mode opératoire Sandworm d'après l'Anssi, vient d'apporter quelques précisions intéressantes.

La version la plus récente concernée est bien la 2.5.2 (comme l'indique l'Anssi dans son rapport technique) qui est sortie en novembre 2014. Cette version n'est plus supportée depuis plus de 5 ans.

Aucun client Centreon n'a été impacté et l'Anssi lui a précisé que seulement une quinzaine d'entités, toutes utilisatrices de versions obsolètes, ont été la cible de la campagne.

Enfin, d'après Centreon qui rapporte une information de l'Anssi, "aucune activité malicieuse n'est à observer à l'heure actuelle".

Gratuits mais dangereux

Cette mise au point a de quoi rassurer. Mais la campagne Sandworm tout comme le Solorigate doivent faire réfléchir les fournisseurs d'outils systèmes de surveillance de réseau ou d'optimisation comme Centreon et Orion. Ces éditeurs diffusent largement les versions gratuites et fonctionnelles de logiciels ultra sensibles qui, un jour, peuvent se retourner contre ceux qui ont été tentés de tester temporairement leurs fonctionnalités.

La région Grand Est est passée en février dernier à deux doigts d'une catastrophe. Alors, même si les communes ont connu dans leur ensemble, peu de cyberattaques sérieuses, il est temps de sensibiliser élus et fonctionnaires. C'est ce qu'entreprend l'Association des Maires de France avec le soutien de l'ANSSI en publiant aujourd'hui un guide très pédagogique.

« Au cours de l’année 2019, l’ANSSI a recensé et traité 92 incidents de sécurité d’origine cyber affectant les communes et les intercommunalités, soit près de 25% des incidents totaux traités par l’agence sur cette période. Cette proportion conséquente reste toutefois à nuancer au regard de la gravité relative des compromissions détectées sur le système d’information des entités concernées. Ces dernières n’ont pas fait l’objet en 2019, ni même les années précédentes, d’incident majeur ou d’opération de cyberdéfense. » 

Ce constat assez rassurant apparaît dans le guide intitulé « Cybersécurité : toutes les communes et intercommunalités sont concernées » que vient de publier l'Association des Maires de France (AMF) avec la collaboration de l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI). Mais même si la majorité des incidents affectant les SI des collectivités ne consiste encore que dans la défiguration de sites web, il ne faut pas négliger les risques encourus et il est urgent d'intégrer la cybersécurité dans les pratiques et les budgets.

L'attaque dont a été victime la région Grand Est en février dernier (lire l'article paru dans L'1FO-CR n°1) est dans toutes les mémoires même si le sujet n'est pas évoqué dans le guide.

Dans ce document de 32 pages, l'ANSSI reprend notamment les conclusions de travaux menés avec des collectivités territoriales bretonnes et vise à une prise de conscience des élus comme des fonctionnaires territoriaux. Il en ressort 30 recommandations aussi bien pour la gouvernance des collectivités (mutualiser les services numériques...) que concernant les moyens à mobiliser (choix budgétaires...), le devoir de résilience (PCA/PRA...) et la nécessité de réviser les relations avec des tiers (sécurité numérique des prestations...). 

Un petit ouvrage de référence à diffuser largement dans les mairies et les centres administratifs qui pourrait s'enrichir à l'avenir d'un volet protection des données personnelles et d'un chapitre smart city. 

Après une enquête fouillée, l'Anssi publie ses conclusions concernant une campagne d'attaques sur l'outil de supervision d'applications, réseaux et systèmes open source Centreon. L'agence y voit clairement la signature du mode opératoire "Sandworm", celui de groupes de hackers dans la mouvance de la direction du renseignement de l'armée russe GRU. Les victimes seraient principalement des prestataires de services, notamment d'hébergement.

L'Anssi vient de publier un rapport très détaillé sur des attaques ciblant des serveurs Centreon selon le mode opératoire Sandworm. Édité par la société du même nom, Centreon est un superviseur d'applications, réseaux et systèmes dont une version est disponible en open source sous licence GPL 2.0. La version la plus courante s'appuie sur CentOS. Sur les serveurs compromis de fin 2017 à 2020 identifiés par l'Anssi, les versions installées de Centreon n'étaient pas à jour et il existait deux portes dérobées : le webshell P.A.S. et celle que Eset a baptisée Exaramel.

Ironie de l'histoire, Centreon, l'éditeur, était auparavant connu sous le nom de Merethis. Et son logiciel de supervision open source s'appelait Oreon. En 2017 Oreon devient Centreon car trop proche dans sa dénomination d'un certain... Orion. Oui Orion, l'outil de SolarWinds à l'origine du Solorigate qui a touché il y a quelques semaines des grands noms de la sécurité informatique. Décidément le chasseur géant de la mythologie grecque attire les pirates informatiques.

Le mode opératoire Sandworm qui semble clairement ressortir du hack ZeroDay Centreon est la signature de groupes de hackers proches de la direction du renseignement de l'état-major de l'armée russe, le GRU, même si l'Anssi ne désigne directement ni le GRU, ni la Russie.

On attribue au mode opératoire Sandworm et/ou au groupe TeleBots un assez beau tableau de chasse. Y figurent l'attaque du réseau électrique ukrainien en 2015-2016 et sans doute indirectement le ransomware NotPetya.

Limiter l'exposition internet des outils de supervision

Dans son rapport, l'Anssi incite à la mise à jour scrupuleuse d'outils de supervision comme Centreon (la version la plus récente trouvée sur un serveur compromis est la 2.5.2), mais aussi de limiter l'exposition internet de ce type d'outils et bien sûr de renforcer encore la sécurité des serveurs Linux.

« Les vulnérabilités des applications sont souvent corrigées par les entreprises éditrices des solutions. Il est recommandé de mettre à jour les applications dès que les failles sont identifiées et que leurs correctifs sont publiés. Cette préconisation est impérative pour les systèmes critiques comme les systèmes de supervision.»

« Les outils de supervision comme Centreon nécessitent d’être fortement connectés au système d’information supervisé et sont donc des composants potentiellement ciblés par un attaquant souhaitant se latéraliser. Il est recommandé de ne pas exposer les interfaces web de ces outils sur Internet ou de restreindre l’accès à celles-ci en mettant en œuvre des mécanismes de sécurité non applicatifs (certificat client TLS, authentification basic par le serveur web) »

Le webshell P.A.S. utilisé lors d'attaques de sites WordPress

D'après l'Anssi, même si Centreon compte parmi ses clients des grands groupes comme Total, EDF, Orange, Bolloré, Air France, Airbus ou le ministère de la Justice, les victimes de l'attaque Sandworm et les serveurs compromis sont à rechercher plutôt du côté des prestataires de services informatiques et notamment d'hébergement web. L'Anssi indique que le webshell P.A.S. a été utilisé lors d'attaques de sites WordPress.

Dans son rapport technique (Cf. ci-dessous) , l'agence présente notamment les méthodes de détection des deux portes dérobées sur des serveurs compromis et liste les fichiers à supprimer. Félix Aimé, chercheur en cybersécurité chez Kaspersky, est lui plus circonspect. « Il faut impérativement rechercher sur l’ensemble des serveurs possédant une instance de Centreon la présence des indicateurs de compromission dévoilés dans le rapport de l’Anssi (fichiers, services, crontab etc.). Il faut prendre conscience qu’en cas de compromission découverte, la simple suppression des fichiers présentés dans le rapport de l’Anssi ne constitue pas une mesure adéquate. Il semble que l’attaquant s’est servi de Centreon pour prendre pied dans certains réseaux informatiques, puis s’est sans doute latéralisé vers d’autres ressources et/ou réseaux. Il est dès lors impératif de mettre en œuvre une réponse à incident prenant en compte cet aspect « avancé » de l’attaque ».

Autant le rapport de l'Anssi est exceptionnellement détaillé et précis, autant l'éditeur Centreon est lui peu disert, se limitant à une courte déclaration à l'AFP. « Centreon a pris connaissance des informations publiées par l’Anssi ce soir[lundi], au moment de la publication du rapport, qui concernerait des faits initiés en 2017, voire en 2015[...] Nous mettons tout en œuvre pour prendre la mesure exacte des informations techniques présentes dans cette publication ».

Mise à jour 16/02/2021 17h00 : Centreon a publié une mise au point assez complète en fin de journée de mardi que nous vous proposons ici.

On nous avait habitués, ou du moins c'est ce que nous percevions, à des discours alarmistes, au manque de ressources, à la fragmentation du secteur. Quelle ne fut pas notre surprise d'entendre ce matin un Guillaume Poupard presque guilleret, se réjouissant des progrès réalisés depuis un peu plus d'un an.

On nous avait habitué, ou du moins c'est ce que nous percevions, à des discours alarmistes, au manque de ressources, à la fragmentation du secteur. Quelle ne fut pas notre surprise d'entendre ce matin un Guillaume Poupard presque guilleret, se réjouissant des progrès réalisés depuis un peu plus d'un an.

Le RSSI de l’Etat vient de publier par le biais du CERT-FR une liste de dix vulnérabilités, particulièrement critiques, découvertes en 2020 ou 2019, et particulièrement marquantes, parce que critiques, exploitées activement et, parfois, affectant des équipements nécessaires au travail à distance.

L’Anssi a sélectionné dix vulnérabilités marquantes, surtout en terme de criticité, repérées l’an dernier, voire en 2019. Car « malgré les publications de plusieurs avis de sécurité en 2019 concernant différents éditeurs de solutions VPN, l’ANSSI a pu constater la présence d’un grand nombre d’équipements vulnérables exposés directement sur internet ». Dix CVE qui touchaient notamment les infrastructures et systèmes de connexion à distance.

A commencer par CVE-2019-11510, une vulnérabilité de certains équipements de Pulse Secure, dont sont VPN SSL Pulse Connect Secure. Cette faille, activement exploitée, permettait à un attaquant de lire des des fichiers arbitraires à distance via le protocole HTTPS en créant une URI particulière. Avec pour résultat le vol d’authentifiants [...]

l'Agence nationale de la sécurité des systèmes d'information (ANSSI), ont inauguré hier un nouveau site de l'agence à Rennes. Cette nouvelle antenne contribuera au renforcement de l'action de l'ANSSI en matière de cybersécurité et de cyberdéfense sur le territoire national.

Le fournisseur de services d'infrastructure en ligne lillois a obtenu le visa de l'Anssi pour la sécurité de son Cloud.

OVHcloud annonce l’obtention du Visa de sécurité Anssi, pour la qualification SecNumCloud de sa solution Hosted Private Cloud. Le référentiel SecNumCloud et le processus de qualification associé définissent le schéma de confiance le plus exigeant pour les acteurs du cloud. L'Anssi recommande de déployer les services Cloud chez des prestataires ayant ce visa.

S'appuyant sur la pile de VMware, la solution certifiée est opérée dans deux nouveaux centres de données d'OVH à Roubaix et Strasbourg. OVHcloud a mis en place pour cette nouvelle solution des procédures de sécurité physique, organisationnelle et contractuelle renforcées. Les systèmes dédiés sont isolés physiquement et logiquement des autres services proposés par OVHcloud avec un périmètre dédié et un niveau de support personnalisé. La confidentialité et la protection des données, avec un accès aux infrastructures réservé à un personnel OVHcloud restreint et exclusivement européen, sont assurées par le fait qu'elles ne sont en aucun cas transférables hors Union Européenne et ne sont soumises à aucune loi extraterritoriale non-européenne.

ANSSI, le Campus Cyber et CCA (Club de la Continuité d’Activité) s’associent dans la préparation de Rempar22, un exercice de simulation de crise cyber de grande ampleur, le jeudi 8 décembre 2022, autour d'un scénario unique créé pour l'occasion.