Getty Images/iStockphoto
Cyberattaque : Bureau Veritas exposait un possible vecteur d’intrusion
Selon nos informations, Bureau Veritas serait bien aux prises avec un ransomware. Ce 24 novembre, un système FortiGate, lié à l’infrastructure de BV, a été vu comme affecté par la vulnérabilité CVE-2018-13379 par Onyphe.
Ce lundi 22 novembre, Bureau Veritas, BV pour les intimes, a indiqué, dans un communiqué de presse, avoir « détecté une cyberattaque » deux jours plus tôt. Le spécialiste des essais, l’inspection et la certification assurent que, « en réponse, toutes les procédures de cybersécurité du groupe ont été immédiatement activées ».
Bureau Veritas précise en outre que « de manière préventive, la décision a été prise de mettre temporairement nos serveurs et nos données offline, afin de protéger nos clients et l’entreprise, tandis que de plus amples investigations et des mesures correctives sont en cours. Ces opérations génèrent une indisponibilité ou un ralentissement partiels de nos services et de nos interfaces clients ».
Depuis, Bureau Veritas n’a pas communiqué à nouveau publiquement sur la situation. Plusieurs professionnels de la sécurité des systèmes d’information travaillant chez des clients ou partenaires de l’entreprise, y compris hors de l’Hexagone, nous ont contactés, apparemment en quête de précisions sur cette cyberattaque. Selon nos sources, il s’agirait d’un ransomware. Contacté par la rédaction, le service de presse de Bureau Veritas n’a pas souhaité commenter, renvoyant à son unique communiqué de presse.
Mais d’où ont pu venir les assaillants ? Les données du moteur de recherche spécialisé Onyphe fournissent une possibilité : selon elles, Bureau Veritas exposait encore tout récemment un serveur VPN FortiGate de Fortinet affecté par la vulnérabilité CVE-2018-13379, en Amérique latine.
La piste de l’exploitation de vulnérabilités
L’équipementier a émis plusieurs alertes au sujet de la menace que représente cette vulnérabilité et du risque d’exploitation. Une notification apparaît dans le tableau de bord des équipements affectés, rappelait d’ailleurs Fortinet à l’automne 2020. À juste titre : cette vulnérabilité a été largement exploitée par les affidés de franchises de ransomware, dont ceux de Revil, Conti, ou encore Pay2Key. Au printemps, Kaspersky a alerté sur des attaques conduites avec le rançongiciel Cring après exploitation de la CVE-2018-13379.
Plus récemment, début septembre, un acteur malveillant a divulgué des identifiants de comptes utilisateurs pour rien moins que 87 000 systèmes FortiGate. Ceux-ci avaient été obtenus en exploitant la vulnérabilité encore présente, selon les données d’Onyphe, sur un équipement Fortinet exploité par Bureau Veritas en Amérique latine. Un correctif pour cette vulnérabilité est disponible depuis mai 2019.
Lors du balayage de ce mercredi 24 novembre des sondes d’Onyphe, ce système FortiGate a encore été vu affecté par la vulnérabilité CVE-2018-13379.
Plus ou moins récentes
Le moteur de recherche spécialisé Shodan dispose quant à lui de données suggérant qu’un autre système de Bureau Veritas est resté longuement exposé sur Internet bien qu’étant affecté par une vulnérabilité pour laquelle un correctif était disponible : un système d’accès distant Pulse Secure, sur une adresse IP française. Les données de Shodan suggèrent qu’il était encore affecté par la vulnérabilité CVE-2019-11510, le 23 septembre 2019.
Pour mémoire, Pulse Secure a commencé à diffuser un correctif pour cette vulnérabilité le 24 avril 2019. À la fin du mois d’août suivant, les autorités lançaient l’alerte sur le Vieux Continent, en soulignant l’existence de vulnérabilités présentes dans les serveurs de réseau privé virtuel signés Fortinet, Palo Alto Networks et Pulse Secure. Celles-ci avaient été divulguées dans le courant de l’été. Les équipes du Cert gouvernemental français relevaient alors que « pour chacun de ces produits, les chercheurs ont réussi à exécuter du code arbitraire à distance exploitant ces vulnérabilités ». Il faut dire qu’un démonstrateur d’exploitation de la vulnérabilité CVE-2019-11510 avait été rendu public le 22 août 2019. Les alertes aux tentatives d’exploitation, ou tout le moins, de découverte d’équipements affectés s’étaient alors multipliées.
Aidé par le cloud ?
Des accès obtenus par l’exploitation de telles vulnérabilités peuvent n’avoir pas été immédiatement mis à profit par des attaquants ou vendus par des courtiers en accès initiaux.
Bureau Veritas pourrait être aidé, dans la gestion de la crise à laquelle il est confronté, par son recours massif au cloud. C’est en 2015 que BV a entamé sa transformation numérique, par le truchement du « plan stratégique 2015-2020 ». « L’accélération de la digitalisation est un des piliers de ce plan », confirmait récemment Jean-Marc Devos Plancq, directeur livraison, architecture et innovation technologique chez Bureau Veritas.
Bureau Veritas est un grand consommateur des ressources d’AWS, mais pas uniquement. Ainsi, Microsoft 365 a été déployé pour l’ensemble du groupe. Son rapport d’activité 2020 évoquait également le déploiement, en cours, de Salesforce.
Vendredi 3 décembre 2021 au matin, Bureau Veritas organise sa journée investisseurs. Si le groupe ne communique pas avant cela, il sera de toute façon confronté à de nombreuses questions à cette occasion.