Artur Marciniec - Fotolia
Unisys : du code source « exfiltré » lors d’une cyberattaque en 2022
Pendant moins d’une heure, début août 2022, Alphv/BlackCat a revendiqué avoir volé du code source à Unisys, lors d’une cyberattaque. L’incident est effectivement survenu ; révèle l’examen des déclarations réglementaires de l’intéressé.
C’est une simple phrase qui a attiré l’attention d’un internaute et l’a amené à contacter la rédaction. Elle se trouve dans la déclaration réglementaire annuelle d’Unisys à la SEC, le gendarme des marchés boursiers américains, le formulaire 10-K pour 2023, tout juste publié.
Cette phrase est explicite : « en 2022, l’entreprise a révélé une cyberattaque impliquant notre environnement de laboratoire logiciel, qui n’a pas causé d’interruption de service pour nos activités ou, à notre connaissance, pour nos clients, mais qui a entraîné l’exfiltration du code source de nos logiciels de cybersécurité, de produits et de plateformes ».
En pleine torpeur estivale, le 3 août 2022, la franchise mafieuse Alphv, aussi appelée BlackCat, publie la revendication d’une cyberattaque contre Unisys. Ça ne dure pas longtemps : la revendication, datée du 28 juillet, est supprimée moins d’une heure plus tard. Mais elle est inquiétante.
Les opérateurs d’Alphv assuraient ainsi avoir eu accès à « tous les entrepôts de code source de tous produits, y compris le code source complet de Stealth Security ». De quoi permettre, selon les cybercriminels, de « déployer des agents, des serveurs, d’utiliser l’API, etc. ». Des captures d’écran de code source venaient étayer leurs propos. L’une d’entre elles semblait liée à la solution Stealth(identity) SaaS, voire à son client mobile uAuthenticator.
La gamme Stealth d’Unisys recouvre notamment des solutions de microsegmentation basée sur l’identité et plus généralement d’accès réseau sans confiance (ZTNA), d’authentification à facteurs multiples (MFA), y compris pour les environnements de cloud hybride.
Ce qui passait alors pour une potentielle compromission de code source fermé rappelait déjà d’autres cyberattaques, à l’instar de Solarwinds, mais également, dans le domaine simplement crapuleux, Exagrid, qui avait été attaqué par le groupe Conti.
Du risque hypothétique au risque avéré
La phrase du formulaire 10-K d’Unisys, pour l’exercice fiscal clos le 31 décembre 2023, figure dans la section consacrée aux facteurs de risque, et plus précisément dans celle relative aux risques cyber : « des cyberincidents, des failles de sécurité et d’autres perturbations de nos systèmes informatiques se sont produits et continueront de se produire, ce qui pourrait entraîner des coûts importants et nuire à nos activités ».
Cette tournure apparaît avec le formulaire 10-K d’Unisys, pour l’exercice fiscal clos le 31 décembre 2022. Ou presque : « des incidents de cybersécurité sont survenus et pourraient continuer de se produire », commence alors le passage. Avant cela, l’occurrence d’incidents de cybersécurité n’était qu’hypothétiquement abordée au conditionnel.
Le formulaire 10-K d’Unisys, pour l’exercice fiscal clos le 31 décembre 2022, indique en outre que, « comme d’autres entreprises, nous avons fait l’expérience d’attaques de cybersécurité et avons dû accroître nos ressources humaines et financières en réponse ».
Nous avons sollicité Unisys, en août 2022, sans succès. Mais le sujet a été abordé lors d’une conférence téléphonique, le 4 août 2022, à l’occasion de la présentation des résultats du second trimestre de l’exercice fiscal.
Selon la retranscription de la conférence, Peter Altabef, président du conseil d’administration et CEO d’Unisys, indique alors « être au courant d’une apparente récente cyberattaque impliquant notre environnement de laboratoire logiciel ». Il ajoute ne pas avoir, à ce moment-là, « beaucoup d’information à partager » et n’évoque pas d’exfiltration de code source.
Le sujet ne sera pas mentionné durant la conférence téléphonique consacrée aux résultats du trimestre suivant, le 8 novembre 2022, ni celle consacrée aux résultats de l’exercice complet, selon les retranscriptions disponibles.
Des processus internes inadaptés ?
Le 7 novembre 2022, Unisys transmet un formulaire 12b-25 à la SEC, indiquant ne pas être en mesure de publier ses résultats trimestriels dans les délais réglementaires, pour le trimestre clos le 30 septembre 2022. Pourquoi ? Parce qu’une enquête interne est en cours « concernant certaines questions relatives aux contrôles et procédures de divulgation, y compris, mais sans s’y limiter, la diffusion et la communication d’informations dans certaines parties de l’organisation ».
Le 15 novembre 2022, dans un formulaire 8-K, Unisys indique que cette enquête interne a permis d’identifier des « faiblesses importantes dans les contrôles et procédures de divulgation de la société et dans le contrôle interne de l’information financière, en ce qui concerne la conception et le maintien de politiques et procédures formelles efficaces sur les informations communiquées par la fonction informatique et la fonction juridique et de conformité aux personnes responsables de la gouvernance, y compris le directeur général et le directeur financier ».
On y lit également que les systèmes d’information d’Unisys « ont été et pourraient, à l’avenir, continuer d’être la cible de diverses formes d’incidents de cybersécurité ».
C’est le 23 novembre 2022 qu’est finalement transmis le formulaire 10-Q pour les résultats du trimestre clos le 30 septembre 2022. Là, on apprend qu’Unisys s’engage à « améliorer sa politique écrite concernant la remontée des informations en cas d’incidents cyber » et que l’entreprise « a procédé à une évaluation de la dotation en personnel de son équipe de réponse aux incidents ». Toutefois, peut-on lire, « il n’y a pas eu d’incidents ou de vulnérabilités en matière de cybersécurité qui aient eu un effet négatif important sur l’entreprise ».
Contactée par LeMagIT, la direction de la communication d’Unisys confirme évoquer le vol de code source pour la première fois, avec son formulaire 10-K pour 2023 : « il avait été déterminé qu'il n'était pas significatif ».