Altran : l'incident qui mérite d'alerter tous les prestataires de service ?
L’attaque de « cryptolocker » qui a touché l’ESN cachait-elle plus ? Certains experts l’affirment, même s’ils sont contredits par l’intéressé. Mais la menace sur les prestataires de services apparaît réelle. De même que la possibilité que certains ransomwares ne soient que des écrans de fumée.
C’était fin janvier : Altran se déclarait victime d’un ransomware. Dans la foulée, Airbus se disait lui-même victime d’un « incident » de sécurité informatique. Il n’a pas fallu bien longtemps pour que certains experts soupçonnent le premier épisode d’être lié au second – mais cet avis est toutefois loin de faire l’unanimité dans la communauté de la sécurité informatique, compte tenu des spécificités du groupe auquel est attribué, à ce jour, le rançongiciel ayant affecté Altran. Deux experts du renseignement sur les menaces nous ont toutefois indiqué, sous couvert d’anonymat, que des données auraient été exfiltrées du système d’information d’Altran et que le ransomware n’aurait été qu’un écran de fumée.
De son côté, Altran affirme fermement le contraire et assure « qu’aucune donnée de nos clients n’a été perdue ou volée » à l’occasion de l’incident. Et de faire état d’une grande prudence dans la remise en route graduelle de ses applications et services, mais « nous sommes vraiment très très proches de la fin ». Pour l’entreprise de services numériques (ESN), c’est par mesure de précaution que ses systèmes ont été arrêtés et déconnectés. Cela s’est avéré payant, car cet arrêt a permis d'éviter toute contagion à des systèmes d’information de clients. « Nous avons une absolue certitude qu’il n’y a eu aucun cas de propagation à l’un de nos clients », précise Stéphanie Bia, vice-présidente groupe en charge de la communication et des relations investisseurs.
Mais coïncidence ou pas, d’autres partenaires d’Airbus auraient été touchés à cette période par un incident informatique. Deux sources distinctes font aujourd’hui état d’un incident de sécurité qui aurait affecté Sopra Steria. Selon elles, s’il n’a pas été particulièrement notable, il aurait toutefois été à l’origine d’un signalement à l’Agence nationale de la sécurité de l’information (Anssi). Laquelle, selon l’une de ces sources, aurait demandé une collecte et une remontée d’indicateurs de compromission.
Interrogée à ce sujet, l’ESN affirme que sa DSI groupe « n’a pas détecté d’incident de sécurité significatif de quelque nature ». Une source syndicale s’est exprimée dans le même sens, indiquant n’avoir pas connaissance d’incident de sécurité ayant récemment affecté la production. Mais à la question de savoir si Sopra Steria aurait été en contact avec l’Anssi, pour lui notifier un incident, ou sollicitée par celle-ci pour collecter et remonter des indicateurs, entre décembre et février, le porte-parole de l’ESN n'a pas répondu, à l'heure où ces lignes ont été publiées.*
Par ailleurs, les noms de deux autres entreprises de l’écosystème d’Airbus sont également évoqués, mais nous n’avons pas été, à ce jour, en mesure de recouper ces allégations ni d’obtenir de réaction de la part des entreprises concernées.
Ces soupçons soulignent toutefois l’attention que méritent les risques d’attaques sur la chaîne logistique, au sens large. Atos en sait peut-être quelque chose, compte tenu de l’expérience acquise à l’occasion des Jeux Olympiques d’hiver de Pyeongchang. Las, s’il devait témoigner lors d’une table ronde consacrée au risque de cyberattaques durant de grands événements, à l’occasion du Forum international de la cybersécurité, fin janvier à Lille, il n’a laissé là qu’une chaise vide.
Surtout, à l’automne dernier, le ministère américain de l’Intérieur alertait sur des attaques avancées persistantes en cours visant des fournisseurs de services managés, pas pour viser ceux-ci directement, mais leurs clients. Il vient même d’organiser tout récemment une « briefing » sur ce sujet. Sur Reddit, un témoignage apparaît confirmer la réalité de la menace.
S’il fallait s’en convaincre, le norvégien Visma a été victime, l’été dernier, d’un groupe de pirates avancé. Selon certains, comme Recorded Future, il s’agirait du groupe APT10, réputé pour ses attaques sur la chaîne logistique de cibles à haut profil, visant notamment les fournisseurs de services managés. Il est soupçonné de liens avec le renseignement chinois, à l’instar d’un autre groupe, APT31, que d’autres experts, de Microsoft cette fois-ci, estiment avoir été à la manœuvre contre Visma. Pour Duo Security, APT10 et APT31 pourraient être étroitement liés. Le premier est soupçonné d’être derrière l’attaque ayant visé Airbus.
C’est le ransomware LockerGoga qui est soupçonné d’avoir été à l’œuvre chez Altran – ce que ce dernier ne confirme toujours pas. Fin janvier, le Cert-FR alertait sur plusieurs campagnes de rançongiciels affectant l’Hexagone, dont LockerGoga – il révélait au passage les empreintes de nouveaux échantillons –, mais pas uniquement. Dans la liste, on trouvait également Ryuk, GandCrab, Anatova, Shade ou encore SamSam.
Justement, si l’on ignore encore comment sont distribués LockerGoga et Anatova, Ryuk apparaît aujourd’hui notamment distribué par Emotet et Trickbot, deux chevaux de Troie dotés, comme leur nom l’indique, de capacités d’exfiltration de données. Quant à Shade, il est doté depuis 2016 de capacités de porte dérobée. En somme, la probabilité d’utilisation d’un ransomware comme écran de fumée pour cacher d’autres activités malicieuses apparaît toujours plus élevée. Comme il y a quelques années pour les DDoS.
Felix Aimé, analyste chez Kaspersky, le souligne d’ailleurs : « ce qu’il faut retenir, c’est que des incidents minimes ou des malwares ‘tout venant’ peuvent ouvrir la porte à des attaques bien plus complexes ». Pire encore… « parfois, l’attaque par ransomware se produit des mois après la primo-infection. Ceci pousse à reconsidérer ‘la simple infection’ par du malware tout venant ».
* mise à jour 18/02/2019 @ 18h30: Sopra Steria est à nouveau revenu vers la rédaction, cette fois-ci pour indiquer « Nous vous confirmons ne pas avoir notifié d’incident chez Sopra Steria et ne commentons pas ce qui concerne nos clients ».