Des cybercriminels très préparés ont réussi à s’introduire dans le SI de l’une des plus grandes SSII françaises Sopra Steria. Une opération qui pourrait bien aller au-delà d’une traditionnelle tentative de vols de données et d’extorsion via ransomware en contaminant les systèmes informatiques de ses clients en particulier ceux faisant appel à ses prestations cybersécurité et de SOC.
Pour l’heure, il reste bien difficile de confirmer que les cybercriminels ont bel et bien utilisé le ransomware Ryuk associé à un exploit de la très critique vulnérabilité Zerologon, pas plus que la timeline de l’attaque et son origine. (crédit : Sopra Steria)
Après Altran début 2019, c’est au tour d’une autre SSII française d’être sous le feu d’une cyberattaque. Et pas n’importe laquelle puisqu’il s’agit de Sopra Steria, deuxième société de services informatiques française en 2019 d’après le cabinet Sitsi (ex PAC). Réalisant plus de 1,95 milliard d’euros de revenus et comptant plus de 45 000 collaborateurs, Sopra Steria est en outre spécialisée dans la… cybersécurité. C’est même l’un des points forts du groupe avec des services managés en sécurités (MSSP) de haut niveau. Début 2019, le fournisseur a été l’un des premiers en France à recevoir la qualification de l’ANSSI en tant que PDIS (prestataires de détection d’incidents de sécurité).
Passées en cellule de crise, les entreprises clientes ayant recours aux prestations informatiques de Sopra Steria ont été alertées par la SSII et ont déconnecté les liens et services avec leur fournisseur. Mais ce qui est envisageable pour de « simples » prestations de développement par exemple, peut s’avérer beaucoup plus problématique lorsqu’il s’agit de prestations cybersécurité. On se doute bien que dans ce scénario, l’entreprise cliente de Sopra Steria qui passe par ce fournisseur par exemple pour une prestation de centre de sécurité opérationnel (SOC), couper les liens équivaudrait à plonger la société dans le noir (presque) complet, ce SOC étant étant les yeux et les oreilles de l’entreprise pour détecter et réagir en cas d’intrusion. En tant que PDIS, les SOC de Sopra Steria bénéficient en principe d’une isolation complète et totale par rapport à son infrastructure SI classique.
Après la crise cyber, la surcrise juridique
On peut toutefois se poser la question si l’objectif derrière cette puissante cyberattaque a été moins de viser Sopra Steria que ses clients, en particulier les utilisateurs de ses services cyber, pour mieux les noyauter de l’intérieur par déplacements latéraux. Parmi les clients de Sopra Steria pour du SOC, on trouve des dizaines de très grosses structures aussi bien du public (Imprimerie Nationale), que privé avec par exemple Airbus et des institutions financières. « A partir du moment où un provider se spécialise dans une prestation cyber quelle qu’elle soit, il est évident qu’il vaut mieux s’attaquer à lui plutôt que ses clients, mécaniquement c’est plus intelligent », nous a indiqué Alain Bouillé, délégué général du Cesin, le club des entreprises de la sécurité de l’information et du numérique. « On a cette entreprise étendue avec une kyrielle de sous traitants, et de leurs sous-traitants, avec des dispositifs d’interconnexion stratégiques pour de multiples services dont les SOC. On a créé ce monde, il faut en assumer ses fragilités et les conséquences ».
Pour l’heure, il reste bien difficile de connaitre les impacts et le le périmètre de cette cyberattaque, tout comme confirmer que les cybercriminels ont bel et bien utilisé le ransomware Ryuk associé à un exploit de la très critique vulnérabilité Zerologon impliquant une compromission de l’Active Directory. Et si Sopra Steria a indiqué – dans un communiqué aussi laconique que peu transparent aux antipodes d’une gestion de crise du géant industriel norvégien Norsk Hydro – avoir été victime d’une cyberattaque qu’il a détectée ce 21 octobre 2020, aucune réponse à nos questions n’a pour l’heure été apportée. « On est dans une logique de rebond potentiel », nous a confirmé Vincent Riou, associé chez Avisa Partners, spécialisée dans l’intelligence économique et la lutte contre le cybecrime « A la crise cyber peut s’ajouter une surcrise juridique, il va falloir que les juristes respectifs analysent les impacts juridiques et RGPD, et les assurances vont rentrer dans le jeu ».
Une cyberattaque parmi les plus performantes
En première ligne face à ce risque d’exploit, les SSII au premier rang desquelles Sopra Steria ont été alertées à plusieurs reprises par de nombreux organismes (CERT-FR, ANSSI…) de l’urgence à combler la vulnérabilité Zerologon en déployant le correctif ad hoc. Il pourrait à ce titre paraitre bien cavalier d’affirmer que l’une des plus grandes SSII françaises et acteur majeur en cybersécurité dans l’Hexagone, n’ait pas pris soin d’installer le patch. A moins que la cyberattaque ait en fait eu lieu bien avant août, date de l’alerte initiale par Microsoft. Cela reste une hypothèse, loin d’être fortuite, les cyberpirates derrière cette attaque ciblée ayant très bien pu exploiter cette faille et injecter des charges malveillantes dormantes dans le SI de Sopra Steria en attendant le moment le plus opportun pour eux de la déclencher.
« A partir du moment où l’attaque est plus ou moins ciblée, on voit bien qu’il est difficile d’y résister même avec les meilleurs équipements et équipes », souffle Alain Bouillé. Les cybercriminels qui ont réussi à percer la cuirasse de Sopra Steria et s’introduire dans ses SI sont loin d’être des amateurs. « Les attaquants ont pris leur temps pour frapper fort, cela leur a demandé plusieurs semaines voire plusieurs mois. On est ici face à de la grande criminalité organisée, proche d’un niveau étatique », nous a expliqué de son côté Vincent Riou. « Ces derniers ont dû construire une chaine de valeur globale avec optimisation et exploitation des armes ce qui explique la performance et la réussite avec une keychain exploitée qui se rapproche des attaques APT les plus avancées ».