le logiciel Centreon a été victime d’une campagne de cyberattaques

Utilisé par EDF, Airbus et Orange, le logiciel Centreon a été victime d'une campagne de cyberattaques

source : https[:]//www.usine-digitale.fr/article/utilise-par-edf-airbus-et-orange-le-logiciel-centreon-a-ete-victime-d-une-campagne-de-cyberattaques.N1061419

Le logiciel de supervision Centreon a été victime d'une campagne de compromission, révèle l'Anssi dans un rapport. Cet outil compte de nombreux utilisateurs, tels qu'Amundi, Air France-KLM, Airbus, Total, la RATP, le ministère de la Justice…, ce qui fait craindre des attaques par rebond. Le mode opératoire utilisé est très proche de celui du groupe d'attaquants russes, connu sous le nom de "Sandworm".  

ALICE VITARD | PUBLIÉ LE 16 FÉVRIER 2021 À 12H35

Utilisé par EDF, Airbus et Orange, le logiciel Centreon a été victime d'une campagne de cyberattaques
Dans un rapport d'incident, l'Agence nationale de la sécurité des systèmes d'information (Anssi) rapporte l'existence d'une campagne de compromission touchant "des prestataires de services informatiques notamment d'hébergement web". Elle a ciblé le logiciel de supervision Centreon, édité par l'entreprise française du même nom, de fin 2017 jusqu'en 2020.

Centreon propose aux administrateurs un monitoring en temps réel du système d'information (diagnostic, planification des temps d'arrêts…) et un contrôle d'accès utilisateurs (définition de groupe d'accès, suivi des actions…).

BOLLORÉ, TOTAL, AIR FRANCE…

Parmi ses utilisateurs, le logiciel compte de nombreuses entreprises françaises telles qu'EDFOrange, Geodis, Amundi, Air France-KLM, Airbus, Total, Accor, le groupe Bolloré… mais également des organismes publics comme le ministère de la Justice, la RATP, Bordeaux Métropole. Centreon est également utilisé par l'Hôpital Nord-Ouest de Villefranche-sur-Saône, dans le Rhône, qui est actuellement touché par un ransomware.

En pratique, les hackers ont installé une porte dérobée de type "webshell", qui permet un accès et un contrôle à distance à un serveur Web en permettant l'exécution de commandes arbitraires, sur plusieurs serveurs Centreon exposés sur Internet. Une seconde porte dérobée, Exaramel, a également été détectée par l'Anssi.

En revanche, l'Anssi n'est pas capable de dire si ces compromissions sont le fruit de l'exploitation d'une vulnérabilité dans le logiciel Centreon ou de la découverte des mots de passes des comptes administrateurs par les attaquants.

LE MODE OPÉRATOIRE D'UN ACTEUR RUSSE

D'après l'Anssi, cet incident présente de "nombreuses similarités" avec des campagnes antérieures sur le même modèle que le mode opératoire "Sandworm". Ce dernier est connu pour mener des campagnes de compromission "larges" puis de cibler les victimes les plus stratégiques.

Cette méthode est traditionnellement attribuée aux services secrets russes. Elle a par exemple déjà été utilisée pour pénétrer dans trois sociétés de distribution d'énergie ukrainiennes en décembre 2015. Cette attaque avait privé d'électricité près de la moitié des 1,4 million d'habitants de la région d'Ivano-Frankivsk pendant plusieurs heures.

CENTREON N'A PAS ENCORE RÉAGI

Mais, dans son rapport, l'Anssi ne dit rien sur l'origine de cette cyberattaque ni sur l'ampleur de ses conséquences sur les entreprises clientes. Son communiqué vise surtout à mettre en garde les entreprises et les organisateurs utilisateurs du logiciel Centreon. De son côté, l'entreprise française, dont le siège social est situé à Paris, n'a pas encore réagi à cette annonce.

ALICE VITARD