Cybersécurité : France découvre des failles liées aux hackers russes

L’agence nationale française de cybersécurité a déclaré qu’elle avait découvert un piratage de plusieurs organisations qui présentait des similitudes avec d’autres attaques d’un groupe lié aux services de renseignement russes.

Le logiciel de surveillance Centreon comme porte dérobée

L’agence nationale française de cybersécurité déclare que les pirates avaient profité d’une vulnérabilité dans le logiciel de surveillance vendu par le groupe français Centreon. Cette entreprise compte parmi ses clients les grandes sociétés et institutions françaises comme EDF, Thales, Total, le ministère de la Justice ou encore la municipalité bordelaise.

Dans son rapport, l’Agence nationale française de sécurité des systèmes d’information (ANSSI) précise que la campagne a surtout touché les fournisseurs de technologies de l’information, en particulier les hébergeurs Web. L’ANSSI avait découvert une porte dérobée sur plusieurs serveurs Centreon qui avait permis aux hackers d’accéder à ses réseaux. Centreon a déclaré plus tard mardi qu’aucun de ses clients n’était concerné.

Des similitudes avec Sandworm

Toujours selon le rapport intitulé Sandworm Intrusion Set Campaign Targeting Centreon Systems, cette attaque présente plusieurs similitudes avec les précédentes campagnes de piratage baptisées Sandworm. ANSSI fait ici référence à un groupe de pirates informatiques soupçonnés d’avoir des liens avec les renseignements militaires russes. Le Kremlin a démenti ces allégations et affirme que la Russie n’a jamais été impliquée dans de telles attaques.

Shot from the Back to Hooded Hacker Breaking into Corporate Data Servers from His Underground Hideout. Place Has Dark Atmosphere, Multiple Displays, Cables Everywhere.

Les méthodes d’accès des hackers aux serveurs de Centreon sont détaillées dans ce rapport. L’attaque rappellerait les techniques déjà utilisées par le groupe Sandworm liées aux renseignements russes. Néanmoins, rien ne garantit qu’il s’agisse des mêmes auteurs. 

Un piratage de 2017 à 2020

ANSSI révèle que le piratage s’est étalé de 2017 à 2010. Cela suggère une attaque extrêmement discrète avec comme principales motivations le vol d’informations et l’espionnage. Cette affaire rappelle la cyberattaque perpétrée contre SolarWinds. Cette société américaine vend des logiciels largement utilisés par de nombreuses institutions et sociétés privées américaines. Dans cette attaque, les services de renseignement soupçonnent également la Russie d’en être l’instigateur.

Quelque 18 000 clients publics et privés de SolarWinds étaient vulnérables au piratage, selon un communiqué. Ce même communiqué déclare que ces attaques opéraient et continuent d’opérer une collecte de renseignement, écartant le vol de données confidentielles et l’attaque des systèmes informatiques des victimes. En France comme aux États-Unis, il est souvent difficile d’identifier les auteurs des faits. Les experts en cybercriminalité s’appuient souvent sur des indices laissés par les hackers et les méthodes utilisées.