Jeux Olympiques : Atos a-t-il suffisamment protégé ses systèmes ?

Des postes utilisés par des collaborateurs d'Atos semblent compter parmi ceux qui ont été pris au piège par les attaquants qui ont cherché à perturber le déroulement de la cérémonie d'ouverture des JO de Pyeongchang.

Fin janvier, lors du Forum International de la Cybersécurité, qui se déroulait alors à Lille, Atos, partenaire clés des Jeux Olympiques pour l'IT, se vantait d’avoir obtenu le label France Cybersecurity pour ses solutions de gestion des identités, habilitations et accès. A l’automne 2016, il avait annoncé un partenariat avec CyberArk parallèlement au lancement de la nouvelle génération de son offre d’IAM, Evidian. Il y a fort à parier que ces systèmes d’IAM vont être fortement mis à contribution et vont avoir l’occasion de faire la démonstration de leurs qualités.

Car comme l’expliquaient Warren Mercer et Paul Rascagneres, des équipes Talos de Cisco, celui qu’ils ont baptisé Olympic Destroyer s’appuie sur des identifiants inscrits directement dans son code. Mais ces identifiants évoluent régulièrement : ils sont ajoutés au maliciel à la volée,  directement dans son code binaire, et sans recompilation, pour la poursuite de la propagation. Cet ajout survient après la capture des identifiants sur l’hôte infecté.

Certains identifiants s’étalent désormais publiquement dans les commentaires d’échantillons sur Virus Total ou dans le rapport d’analyse en bac à sable d’Hybrid Analysis. On trouve là des identifiants de comptes, selon toute vraisemblance techniques, mais aussi de collaborateurs d’Atos, s’il l’on en croît l’adresse e-mail en @atos.net. Les échantillons en question ont été créés le 27 décembre dernier. Mais compte tenu du polymorphisme dont Olympic Destroyer fait preuve, cela n’indique en rien que les comptes concernés avaient été compromis à cette date ou avant.

Un porte-parole d’Atos a indiqué à nos confrères de CyberScoop qu’une enquête « complète est en cours », tout en expliquant qu' « ensemble, avec notre partenaire McAfee Advanced Threat Research, nous pouvons confirmer que l’attaque […] a utilisé des identifiants codés en dur dans le maliciel ». Pour autant, à ce stade, ces identifiants « n’indiquent pas l’origine de l’attaque ». 

Ces affirmations tendent à confirmer la découverte des équipes Talos de Cisco, ainsi que l’authenticité des échantillons désormais publiquement accessibles. Pour autant, ces derniers n’apportent, à ce stade, pas d’éclairage sur la manière dont le maliciel a été invité sur l’infrastructure des Jeux Olympiques. 

Toutefois, ils soulèvent des questions sur la manière dont a été conçue la protection de leurs hôtes contre les maliciels - par Atos ou un autre partenaire. Comme l’ont montré certaines expériences, détecter des implémentations personnalisées de Mimikatz pour voler des identifiants en mémoire vive n’est pas trivial. Mais ce n’est pas pour autant impossible, surtout quand la mise en œuvre reste peu personnalisée. D’ailleurs, Benjamin Delpy, créateur de Mimikatz, n’a pas manqué d’ironiser sur le sujet. 

Nous avons sollicité le service de presse d'Atos et nous restons dans l'attente de réponses à nos questions complémentaires. Nous ne manquerons pas de mettre à jour cet article à leur réception.

En attendant, certains ne manquent déjà pas de souligner l’ironie de la situation pour celui qui annonçait fièrement, en juillet dernier, « le premier Security Operations Center prescriptif », capable de « contrecarrer les cyberattaques avant même qu’elles ne se produisent » grâce à un « temps de détection et de réponse inédit ».

Pour approfondir sur Menaces, Ransomwares, DDoS