Que sait-on de la cyberattaque au ransomware du géant français Sopra Steria ?

Depuis quelques jours, Sopra Steria, sixième ESN de France et membre fondateur du futur Campus cyber, est victime d’une attaque au rançongiciel (ransomware). Les responsables sont certainement les auteurs derrière Ryuk, le rasnomware le plus rentable du monde. Voici ce que l’on en sait à l’heure actuelle.

Partager
Que sait-on de la cyberattaque au ransomware du géant français Sopra Steria ?

« Il s’agit d’une situation dans laquelle les cordonniers sont les plus mal chaussés », pique Christophe Lambert, directeur technique grands comptes Europe, Moyen-Orient et Afrique chez Cohesity, interrogé par Industrie & Technologies. Et pour cause : la dernière société française victime d’une cyberattaque n’est autre que Sopra Steria, sixième entreprise de services du numérique (ESN) française et l’un des six géants du futur projet de Campus cyber .

Les faits se déroulent le soir du 20 octobre dernier, soit à peine cinq jours après la conférence de Sopra Steria sur la gestion de crise cyber aux Assises de Monaco.

L’information d’une cyberattaque est d’abord dévoilée le lendemain par le site français d’information Le MagIT, qui précise que « l’Active Directory [un service de contrôle d’accès sur développé par Microsoft et déployé dans une majorité de système d’information d’entreprise, ndlr] serait affecté » et qu’« une partie de son système d’information aurait été chiffrée ».

Une nouvelle version du ransomware Ryuk serait responsable de l'attaque

La cyberattaque est confirmé par Sopra Steria dans un court communiqué publié le 21 octobre à 19h. La société aux 46 000 employés et aux 4,4 milliards de chiffres d’affaires assure que « les équipes du groupe sont pleinement mobilisées pour assurer un retour à la normale le plus rapidement possible » et que « tout est mis en œuvre pour assurer la continuité de l’activité » mais ne donne aucune précision sur l’attaque. « L’une des grosses difficultés pour Sopra Steria, c’est que l’attaque semble, en réalité, avoir été très diffuse, sur la globalité de son réseau », remarque Christophe Lambert.

Selon les informations du site américain BleepingComputer, les individus derrière cette attaque seraient les auteurs du rançongiciel (ransomware) Ryuk, l’un des plus actifs et présenté par le FBI comme le ransomware le plus rentable lors de la conférence cyber RSA, en mars dernier. Un note d’information interne des équipes de cybersécurité de Sopra Steria, que Le MagIT a pu consulter, mentionne explicitement Ryuk comme le ransomware à l’origine de l’attaque.

Ryuk ransomware plus rentable

Toutefois, pour l’attaque visant Sopra Steria, les cyber-assaillants pourraient bien avoir utilisé « non pas la version originale de Ryuk mais une mutation, avec de nouvelles signatures, de manière à le rendre plus efficace contre les anti-ransomwares », croit savoir Christophe Lambert. Si la communication officielle de Sopra Steria est laconique est peu transparente, la note d’information, elle, détaille les méthodes d’accès aux systèmes Windows des ordinateurs des employés de la société : PCexec pour l’accès à distance, l’outil de pénétration des systèmes Cobalt Strike pour le déplacement latéral, le Background Intelligent Transfer Service (BIT) pour déployer le ransomware et Windows Share pour stocker la liste des adresses IP devant être visées par le ransomware.

Ryuk ransomware plus actif

Reste à connaître la toute première étape : la méthode d’intrusion elle-même. Selon BleepingComputer et Le MagIT, le groupe de hackers derrière Ryuk – et son cousin Conti – utilise généralement Trickbot, l’un des bots informatiques (botnets) les plus connus, et notamment le cheval de Troie BazarLoader (ou BazarBackdoor) qui lui est associé.

Un incident maîtrisé, mas quid des partenaires de Sopra Steria ?

Ce lundi 26 octobre, Sopra Steria a bel et bien confirmé, officiellement cette fois, que le « virus » qui a infecté ses systèmes est « une nouvelle version du ransomware Ryuk jusque-là inconnues des éditeurs d’antivirus et des agences de sécurité ». La société ajoute que « la cyberattaque avait été lancée quelques jours seulement avant sa détection ».

Si elle reste officiellement très peu transparente sur les détails de l’attaque elle-même, la firme se veut rassurante, à la fois sur sa réactivité – « les équipes de Sopra Steria ont immédiatement fourni toutes les informations nécessaires aux autorités compétentes [et] la signature de cette nouvelle version du virus a donc pu être rapidement communiquée » – et sur les conséquences de l’attaque – « Sopra Steria n’a pas constaté de fuite de données ou de dommages causés aux systèmes d’informations de ses clients ».

C’est là que se joue désormais l’enjeu principal pour savoir si la confiance en Sopra Steria sera affectée par cet événement, selon Christophe Lambert : « Si dans les prochains jours, on apprend que l’un des clients est touché, cela pourrait avoir un impact négatif sur Sopra Steria », assure-t-il. En effet, l’ESN française est présente dans 25 pays et compte, parmi ses clients, certaines des plus grosses banques françaises (BNP Paribas, Société générale…) et britanniques (HSBC, Royal Bank of Scotland…). Elle travaille également avec quelques-unes des administrations françaises les plus sensibles, rappelle, dans un tweet, Cédric Foll, directeur des infrastructures et du support informatique de l’université de Lille et rédacteur en chef du magazine dédié à la cybersécurité Misc.

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'hebdo de la techno

Nos journalistes sélectionnent pour vous les articles clés de l'innovation technologique

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

LES ÉVÉNEMENTS L'USINE NOUVELLE

LES PODCASTS

Le rôle des jeux vidéo dans nos sociétés

Le rôle des jeux vidéo dans nos sociétés

Martin Buthaud est docteur en philosophie à l'Université de Rouen. Il fait partie des rares chercheurs français à se questionner sur le rôle du jeu vidéo dans nos...

Écouter cet épisode

Les coulisses d'un abattoir qui se robotise

Les coulisses d'un abattoir qui se robotise

Dans ce nouvel épisode de La Fabrique, Nathan Mann nous dévoile les coulisses de son reportage dans l'abattoir Labeyrie de Came, dans les Pyrénées-Atlantiques, qui robotise peu à peu...

Écouter cet épisode

La renaissance des montres Kelton

La renaissance des montres Kelton

Le designer Vincent Bergerat donne une nouvelle vie aux montres Kelton. Dans ce nouvel épisode du podcast Inspiration, il explique au micro de Christophe Bys comment il innove et recrée l'identité...

Écouter cet épisode

« Le roman permet d'aborder des sujets arides»

« Le roman permet d'aborder des sujets arides»

Nouveau

L'auteur Tom Connan a publié son deuxième roman «Pollution», un récit où se croisent les questions d'écologie, d'environnement, du numérique et du...

Écouter cet épisode

Tous les podcasts

LES SERVICES DE L'USINE NOUVELLE

Trouvez les entreprises industrielles qui recrutent des talents

BUREAU VERITAS

Auditeur QSE (F-H-X)

BUREAU VERITAS - 23/06/2022 - CDI - Aix en Provence

+ 550 offres d’emploi

Tout voir
Proposé par

Accédez à tous les appels d’offres et détectez vos opportunités d’affaires

78 - Versailles

Prestations de gardiennage télésurveillance, sûreté, sécurité incendie et filtrage des juridictions judiciaires du ressort

DATE DE REPONSE 10/07/2022

+ de 10.000 avis par jour

Tout voir
Proposé par

ARTICLES LES PLUS LUS