Ransomware : comment Bretagne Télécom s’est vite défait de ses assaillants
L’opérateur/hébergeur a été victime d’une intrusion limitée courant janvier, via l’exploitation d’une vulnérabilité sur un système Citrix. Mais il a vite bouté les rançonneurs, notamment grâce à ses systèmes de stockage Pure Storage.
Ce mardi 25 février, Zataz l’assurait : selon lui « un opérateur téléphonique français [est] pris en otage » par les cyber-délinquants aux commandes du rançongiciel DoppelPaymer. Plus précisément, il s’agirait d’un « opérateur télécom français basé dans l’Ouest de la France ».
Un peu plus tôt, Bleeping Computer expliquait que ces assaillants venaient de mettre en ligne un site Web pour renforcer la pression sur leurs victimes en les menaçant de divulguer des données dérobées lors de leur intrusion, si elles venaient à refuser de céder à leurs demandes de rançon, suivant ce qui semble s’imposer comme une lourde tendance. Parmi les premières organisations ainsi mises à l’index, « une entreprise française fournissant des services de télécommunications et d’hébergement cloud ». En coulisses, un nom circulait déjà, alimenté par des rumeurs de brèche de sécurité qui serait survenue plus tôt cette année : Bretagne Télécom.
Sollicité par téléphone, Nicolas Boittin, PDG de l’opérateur, a accepté de répondre à nos questions. De quoi raconter une histoire qui a bien fini. Elle commence mi-janvier, avec l’exploitation par les assaillants de la vulnérabilité CVE-2019-19781 permettant de prendre le contrôle des équipements Citrix ADC/Netscaler et Gate/Netscaler Gateway. A l’époque, les correctifs n’étaient pas encore disponibles. Las, « il y avait, sur cette ferme, les systèmes d’une trentaine de clients petites entreprises », avec notamment des serveurs applicatifs, pour des logiciels métiers, fonctionnant parfois sur des systèmes d’exploitation vétustes. En pleine nuit, tout a été « complètement chiffré ».
Nicolas BoittinPDG, Bretagne Télécom
Les systèmes de supervision ont détecté l’incident. Ce sont notamment les systèmes de sauvegarde d’instantanés – ou snapshots – des baies Pure Storage qui ont permis une restauration rapide. « De tête, il devait y avoir 30 To de données concernées », explique Nicolas Boittin. Et les snapshots permettent de remonter jusqu’à 5 jours en arrière.
Pas question de redémarrer les systèmes affectés sans nettoyage, toutefois : « nous avons commencé par les relancer un à un sans réseau, pour les vérifier. Nous avons trouvé le moment où les assaillants avaient installé les tâches programmées d’exécution du chiffrement. Une fois ces tâches et les maliciels supprimés, nous avons pu revenir en conditions opérationnelles ». Pour l’ensemble des clients concernés, cela a pris au total 3 jours – pour les moins consommateurs de stockage, il n’a toutefois guère fallu plus de 6 heures. Et entre temps, « nous avons prévenu la Cnil, nos clients, notre auditeur – puisque nous sommes certifiés ISO 27001 ».
L’incident a donc été clos rapidement – bien que l’opérateur ne soit donc pas mis à l’index encore aujourd’hui par les cyber-délinquants –, et Nicolas Boittin est affirmatif : « nous n’avons pas été pris en otages ». Il n’en reconnaît pas moins une certaine frustration : « oui, le ransomware a pu être installé ». Certes, là, le temps qu’il a fallu pour que le correctif Citrix soit disponible n'a pas joué en sa faveur. Mais l'épisode est loin d'être isolé, et ce n'est pas faute de processus et de pratiques internes rigoureuses.
Car au-delà de cet incident, le patron de Bretagne Télécom décrit une situation que connaissent vraisemblablement nombre d’hébergeurs : « ce n’est pas la première fois que cela arrive à des clients. Mais la plupart du temps, ils sont en auto-gestion, donc nous n’avons pas à intervenir. […] Des rançongiciels chez nos clients, il n’y en a peut-être pas un par mois, mais pas loin. Et jamais nous n’avons payé. Je me refuse à alimenter une économie parallèle où l’on donnerait les moyens aux pirates d’améliorer leurs systèmes pour nous attaquer encore ».
Et oui, le devoir de conseil est pris au sérieux, mais faire passer l'idée de pratiques sérieuses ne serait-ce que pour la gestion des mots de passe ou l'adoption de l'authentification à facteurs multiples n'est pas trivial, et ne manque pas de se heurter à la réalité de différences culturelles ou d'habitudes solidement ancrées.