Comment Solware remonte la pente après une cyberattaque de Conti
Dans la nuit du 11 au 12 août, le ransomware Conti a été déclenché sur les serveurs de l’éditeur français Solware, après effacement de ses sauvegardes. La reprise est en cours, avec prudence et pour renforcer la sécurité.
Au début, cela ressemblait à une attaque avec ransomware classique. Le 12 août au matin, les équipes de Solware découvraient que les serveurs de l’éditeur avaient été chiffrés avec le rançongiciel Conti. Les analyses montreront que les attaquants étaient présents dans l’environnement depuis plusieurs jours et avaient pris le temps d’effacer les sauvegardes Veeam. Ils pourraient être entrés via un système Citrix ayant été affecté par la vulnérabilité CVE-2019-19781, dite Shitrix.
Solware édite des logiciels métiers, notamment pour l’automobile. Là, ses produits visent les acteurs de la distribution, réparation et recyclage automobiles. Si de nombreux particuliers ont eu la mauvaise surprise, récemment, de découvrir que leur garagiste ne pouvait plus accéder à l’historique des interventions sur leur véhicule, c’est une conséquence de l’attaque subie par Solware.
Gérald Ferraro, le PDG du groupe Solware, explique : « ce sont essentiellement nos clients garagistes en solution hébergée – nous avons à peu près 4 000 clients sur le domaine de l’automobile, dont 1 300 qui sont concernés. Ceux-ci ont perdu l’accès à leur système ». Pour les aider, Solware « les a tous redéployés avec une solution locale », mais sans données historiques : « ils n’ont pas leurs fichiers clients ni véhicules, ni d’historique de réparation ou de comptabilité. Mais on leur a trouvé des solutions alternatives pour qu’ils puissent accueillir leurs clients et les facturer ».
Une longue reconstruction
Gérald FerraroPDG Solware Group
Mais pas question de s’en contenter. Les systèmes de sauvegarde ont été confiés à Ontrack : « ils travaillent dessus depuis 3 semaines. Ils nous ont confirmé que les serveurs avaient été reformatés, mais sans écraser les données avec des zéros ». Il y a donc bon espoir de pouvoir reconstituer les données. Mais cela prendra du temps : il faut compter avec 41 disques de 6 To montés en RAID 6, et tenir compte « des spécificités techniques des constructeurs des différentes baies ».
Le travail de reconstruction des données est engagé depuis deux semaines. « Nous avons donné la priorité au volume dans lequel se trouvaient les données de nos clients. C’est un volume d’à peu près 14 To. OnTrack en est à la moitié et anticipe la fin de cette première phase pour le 1er octobre. Mais à la fin de cette première phase, les données ne seront pas encore restaurables ; il nous faudra encore travailler sur les données avant de pouvoir les restituer à nos clients ». Et là, ce ne sera pas fini : si tout s’est bien déroulé jusque-là, il sera nécessaire de fusionner les données historiques avec celles générées depuis les déploiements en local.
Y compris en interne
Parallèlement, Solware s’attelle à la reconstruction de son infrastructure IT interne, en la repensant en profondeur : « on renforce la sécurité avec des mesures tant technologiques qu’organisationnelles ». Cela va passer notamment par un retour accru à l’authentification à double facteur – avec la solution Duo de Cisco.
Et si la reconstruction du domaine et de l’annuaire prend un peu plus de temps que l’on ne pourrait s’y attendre, c’est pour mettre en œuvre le modèle par tiers recommandé par Microsoft, afin d’éviter qu’un intrus ne puisse aisément élever ses privilèges et, en définitive, devenir administrateur d’un contrôleur de domaine.
La segmentation du réseau a également été revue pour empêcher tout rebond du SI interne à Solware vers l’infrastructure d’hébergement des clients. À cela va s’ajouter le déploiement d’un EDR et la mise en œuvre de sauvegardes offline.
Le retour complet de la téléphonie sur IP, ou encore de la messagerie attendra encore – et cette fois-ci, pas question de déployer un serveur Exchange on-premise ; ce sera Microsoft 365.
Un gros effort de transparence
Gérald FerraroPDG Solware Group
Depuis le début de cette crise, Solware mise sur la transparence : « J’ai pris l’initiative de contacter mes concurrents et confrères pour leur expliquer ce qui nous était arrivé », explique Gérald Ferraro. Surtout l’éditeur a mis en place un site Web dédié à la situation et qu’il actualise plusieurs fois par jour. À cela s’ajoutent des campagnes de courrier d’emails et de SMS.
Pour Gérald Ferraro, cela ne fait aucun doute : « en tant que victime, il faut en parler. La loi du silence qui prévaut dans ce genre de situation doit tomber. Cela ne permet pas aux autres entreprises de mieux se protéger et se préparer à ce genre d’attaque. On a besoin de développer une immunité collective. Et pour cela, lorsque l’on a été touché, il faut le dire pour que notre expérience puisse servir à d’autres ».
Car pour lui, « c’est un fléau dont on ne mesure pas l’ampleur. Plus l’on en parle autour de nous, plus l’on réalise que beaucoup d’entreprises ont été concernées. Il faut faire preuve de solidarité pour que chacun puisse relever le niveau de sa sécurité et se préparer. C’est très violent, lorsque cela survient ».
Se préparer
Gérald FerraroPDG Solware Group
Gérald Ferraro insiste aujourd’hui sur l’importance de la préparation, pour renforcer la sécurité de son système d’information, ou la protection de ses sauvegardes, mais surtout être prêt à gérer la crise lorsqu’elle survient : « il y a beaucoup d’experts pour accompagner dans la gestion de crise, mais on les connaît peu ». Et sans préparation en amont, « on se retrouve à traiter, dans l’urgence, avec un certain nombre d’entreprises qui vous fixent leurs conditions – en termes de prix et de conditions pratiques d’intervention – et on se sent un peu pris en otage une deuxième fois ».
D’où le conseil de Gérald Ferraro : « préparez votre technique de réponse à la crise en amont, faites faire des devis, négociez, discutez. Vous n’aurez pas forcément de meilleurs tarifs, mais vous aurez une idée de qui est capable de faire quoi et à quel prix. Et au moment où cela vous arrive, certes vous savez que c’est très cher, mais vous avez aussi une réponse plus rapide ».