Que sait-on de la cyberattaque au ransomware du géant français Sopra Steria ?
Depuis quelques jours, Sopra Steria, sixième ESN de France et membre fondateur du futur Campus cyber, est victime d’une attaque au rançongiciel (ransomware). Les responsables sont certainement les auteurs derrière Ryuk, le rasnomware le plus rentable du monde. Voici ce que l’on en sait à l’heure actuelle.
« Il s’agit d’une situation dans laquelle les cordonniers sont les plus mal chaussés », pique Christophe Lambert, directeur technique grands comptes Europe, Moyen-Orient et Afrique chez Cohesity, interrogé par Industrie & Technologies. Et pour cause : la dernière société française victime d’une cyberattaque n’est autre que Sopra Steria, sixième entreprise de services du numérique (ESN) française et l’un des six géants du futur projet de Campus cyber .
Les faits se déroulent le soir du 20 octobre dernier, soit à peine cinq jours après la conférence de Sopra Steria sur la gestion de crise cyber aux Assises de Monaco.
L’information d’une cyberattaque est d’abord dévoilée le lendemain par le site français d’information Le MagIT, qui précise que « l’Active Directory [un service de contrôle d’accès sur développé par Microsoft et déployé dans une majorité de système d’information d’entreprise, ndlr] serait affecté » et qu’« une partie de son système d’information aurait été chiffrée ».
Une nouvelle version du ransomware Ryuk serait responsable de l'attaque
La cyberattaque est confirmé par Sopra Steria dans un court communiqué publié le 21 octobre à 19h. La société aux 46 000 employés et aux 4,4 milliards de chiffres d’affaires assure que « les équipes du groupe sont pleinement mobilisées pour assurer un retour à la normale le plus rapidement possible » et que « tout est mis en œuvre pour assurer la continuité de l’activité » mais ne donne aucune précision sur l’attaque. « L’une des grosses difficultés pour Sopra Steria, c’est que l’attaque semble, en réalité, avoir été très diffuse, sur la globalité de son réseau », remarque Christophe Lambert.
Selon les informations du site américain BleepingComputer, les individus derrière cette attaque seraient les auteurs du rançongiciel (ransomware) Ryuk, l’un des plus actifs et présenté par le FBI comme le ransomware le plus rentable lors de la conférence cyber RSA, en mars dernier. Un note d’information interne des équipes de cybersécurité de Sopra Steria, que Le MagIT a pu consulter, mentionne explicitement Ryuk comme le ransomware à l’origine de l’attaque.
Toutefois, pour l’attaque visant Sopra Steria, les cyber-assaillants pourraient bien avoir utilisé « non pas la version originale de Ryuk mais une mutation, avec de nouvelles signatures, de manière à le rendre plus efficace contre les anti-ransomwares », croit savoir Christophe Lambert. Si la communication officielle de Sopra Steria est laconique est peu transparente, la note d’information, elle, détaille les méthodes d’accès aux systèmes Windows des ordinateurs des employés de la société : PCexec pour l’accès à distance, l’outil de pénétration des systèmes Cobalt Strike pour le déplacement latéral, le Background Intelligent Transfer Service (BIT) pour déployer le ransomware et Windows Share pour stocker la liste des adresses IP devant être visées par le ransomware.
Reste à connaître la toute première étape : la méthode d’intrusion elle-même. Selon BleepingComputer et Le MagIT, le groupe de hackers derrière Ryuk – et son cousin Conti – utilise généralement Trickbot, l’un des bots informatiques (botnets) les plus connus, et notamment le cheval de Troie BazarLoader (ou BazarBackdoor) qui lui est associé.
Un incident maîtrisé, mas quid des partenaires de Sopra Steria ?
Ce lundi 26 octobre, Sopra Steria a bel et bien confirmé, officiellement cette fois, que le « virus » qui a infecté ses systèmes est « une nouvelle version du ransomware Ryuk jusque-là inconnues des éditeurs d’antivirus et des agences de sécurité ». La société ajoute que « la cyberattaque avait été lancée quelques jours seulement avant sa détection ».
Si elle reste officiellement très peu transparente sur les détails de l’attaque elle-même, la firme se veut rassurante, à la fois sur sa réactivité – « les équipes de Sopra Steria ont immédiatement fourni toutes les informations nécessaires aux autorités compétentes [et] la signature de cette nouvelle version du virus a donc pu être rapidement communiquée » – et sur les conséquences de l’attaque – « Sopra Steria n’a pas constaté de fuite de données ou de dommages causés aux systèmes d’informations de ses clients ».
C’est là que se joue désormais l’enjeu principal pour savoir si la confiance en Sopra Steria sera affectée par cet événement, selon Christophe Lambert : « Si dans les prochains jours, on apprend que l’un des clients est touché, cela pourrait avoir un impact négatif sur Sopra Steria », assure-t-il. En effet, l’ESN française est présente dans 25 pays et compte, parmi ses clients, certaines des plus grosses banques françaises (BNP Paribas, Société générale…) et britanniques (HSBC, Royal Bank of Scotland…). Elle travaille également avec quelques-unes des administrations françaises les plus sensibles, rappelle, dans un tweet, Cédric Foll, directeur des infrastructures et du support informatique de l’université de Lille et rédacteur en chef du magazine dédié à la cybersécurité Misc.
Steria est la seconde plus grande ESN (sous traitant informatique) en France et travaille notamment avec les ministères de la défense, l’intérieur, l’éducation nationale et Bercy.
— Cedric Foll (@follc) October 22, 2020
Il va falloir couper quelques accès VPN... https://t.co/dVE2JIgXzF
Sélectionné pour vous
