Sopra Steria, sérieusement touché par le ransomware Ryuk : ce qu'en pensent les experts cyber

22 octobre 2020 à 18h09
22

Le groupe français aux 45 000 employés, pourtant réputé pour être précautionneux, a laissé entrer les hackers dans son système informatique.

Sopra Steria a annoncé, mercredi 21 octobre 2020, avoir détecté une cyberattaque sur son réseau informatique la veille, le mardi 20 octobre. Le spécialiste de la transformation digitale aux 45 000 employés a alors indiqué, dans un communiqué de presse laconique, avoir pris des mesures pour limiter la propagation de l'infection. Derrière cette attaque, on retrouverait le ransomware Ryuk (mais pas que !) bien connu du monde cyber désormais. Réputé pour sa sophistication, le groupe qui est à sa tête a réussi à transiter au sein du système informatique pour atteindre l'annuaire Active Directory (qui fait partie de l'architecture de Microsoft).

Pour savoir qui se cache derrière l'attaque, comment celle-ci a pu avoir lieu et quelles en seront les conséquences, nous avons interrogé deux experts : Jérôme Thémée, fondateur de l'organisme de formation ESD Cybersecurity Academy ; et Frédéric Gouth, consultant en cybersécurité et réserviste de la Gendarmerie nationale au pôle Cybercriminalité.

Sopra Steria, membre du Campus cyber et ESN touchée, plus aucune société à l'abri ?

Après l'armateur CMA-CGM en France ou l'éditeur de logiciels Software AG en Allemagne, la liste étant non-exhaustive, de plus en plus de gros groupes, pourtant sensibilisés aux risques cyber, sont touchés par des attaques informatiques, qui font parfois plus que perturber les systèmes, puisqu'elles permettent le vol de données personnelles.

« Personne n'est inattaquable », affirme Jérôme Thémée. « Sopra Steria investit dans la sécurité des systèmes d'information, et a ce qu'il faut pour se protéger. Il faut bien comprendre que malgré tout cela, il reste des risques résiduels », poursuit-il. La moindre brèche suffit donc à se frayer un chemin jusqu'à certaines parties critiques du réseau. « Là où Sopra Steria a pu être surpris, c'est que les hackers ont réussi à atteindre un noyau assez central dans l'entreprise. On pourrait lui jeter la pierre, mais en même temps, il faut se rendre compte que les grands groupes ont d'importants périmètres à sécuriser », nous explique l'ancien hacker.

Son constat est partagé par Frédéric Gouth, pour qui « personne n'est à l'abri, même les entreprises dans le domaine de l'IT ». La plus grosse faille reste en effet l'humain, et investir dans le matériel pour donner l'illusion d'une sécurisation ne suffit plus. Pour le consultant, « c'est même une grosse erreur car s’il y a 20 ou 30 ans nous faisions de la sécurité périmétrique, maintenant nous devons viser la défense en profondeur, c'est-à-dire d’avoir plusieurs lignes de défense indépendantes et que chaque ligne constitue une barrière autonome contre les attaques (politiques de sécurité et procédures, sécurité physique, DMZ, sécurité du réseau interne, sécurité des PC et serveurs, sécurité des applications, sécurité des données, etc.) ».

Ryuk, bourreau de Sopra

Le groupe derrière l'attaque de Sopra Steria est connu pour avoir déjà utilisé Ryuk. Et ce n'est pas une bonne nouvelle. Apparu en 2018, s'étant fait oublier et réapparu en grande pompe au mois de septembre, le rançongiciel est réputé pour être d'une redoutable efficacité, dirigé par des hackers très organisés. « Ce que l'on sait des membres de Ryuk, c'est qu'ils sont bien identifiés aujourd'hui. Ils ne s'en cachent pas d'ailleurs. Les modes opératoires sont toujours les mêmes. Ils ont industrialisé leur routine cybercriminelle et sont à la pointe des vecteurs d'infection. Dans leur façon de faire, ils utilisent "ce qui vient de sortir" », nous détaille Jérôme Thémée.

Preuve de sa volatilité, Ryuk sait parfaitement exploiter la vulnérabilité Zerologon, qui lui permet « de passer du phishing initial au chiffrement complet à l'échelle du domaine en seulement cinq heures », précise Frédéric Gouth. « La vulnérabilité Zerologon permet à un attaquant non authentifié disposant d'un accès réseau à un contrôleur de domaine de compromettre complètement tous les services d'identité Active Directory ». Zerologon « permet de pénétrer en vertical dans une organisation, et les attaquants n'ont plus qu'à finir le travail », complète Jérôme Thémée.

C'est donc vers l'annuaire Active Directory que les attaquants se sont dirigés. Pour une attaque dont la criticité atteint le niveau maximal (Zerologon a été notée 10 sur 10 par le Common Vulnerability Scoring System ou CVSS), comme nous l'explique Frédéric Gouth.

Ryuk - Emotet - Trickbot, le cocktail explosif destiné à Sopra Steria

Outre Ryuk, une source tierce nous informe en parallèle que Sopra Steria a également subi un assaut du malware Emotet et, plus étonnant encore, de Trickbot, pas vraiment chassé par Microsoft, donc.

Une fois que les hackers ont pu élever leur niveau de privilèges (grâce à la faille Zerologon), ils ont pu utiliser plusieurs outils comme Cobalt Strike, WMI, AdFind et PowerShell, pour faire aboutir leur assaut.

Comment Ryuk a-t-il pu pénétrer dans le système informatique ?

C'est évidemment une question capitale. Mais la réponse n'aura rien d'extraordinaire. Ici, la méthode est traditionnelle, et fait suite à un travail minutieux, une préparation effectuée sur plusieurs jours. Pour Jérôme Thémée, « tout peut partir d'un email avec une pièce-jointe piégée utilisant une vulnérabilité qui vient de sortir. Il suffit d'un utilisateur pas assez bien sensibilisé ou qui fait une bêtise pour avoir une telle catastrophe. On est vraiment sur un Covid numérique ».

Concernant l'ampleur du nombre de personnes ou de données touchées, il est difficile de le quantifier. « L'annuaire peut se décomposer. Dans tous les cas, du fait que les attaquants ont atteint l'annuaire, ils peuvent atteindre des données à caractère personnel », nous dit le fondateur de l'ESD Academy. Parmi les données, on pourrait retrouver des noms, prénoms, adresses postales, adresses électroniques et numéros de téléphone. « Tant qu'on ne saura pas exactement ce qu'ils ont réussi à faire sur l'annuaire, on ne pourra pas définir le niveau d'impact ».

Ce qui pourrait être ennuyeux, c'est que comme toute attaque, elle aurait pu être évitée. Frédéric Gouth nous explique qu'« un patch a été publié en août pour corriger cette faille ». Donc dans le cas où Sopra Steria a bien été frappée par Ryuk (toutes nos informations vont dans ce sens), « cela voudrait dire que leurs serveurs n'avaient pas été mis à jour, et donc que les préconisations de l'ANSSI n'ont pas été suivies ».

Quelle réaction face à une attaque de type rançongiciel ?

Face à une attaque informatique de type rançongiciel, il est d'usage de suivre des recommandations, recommandations que l'on peut retrouver dans un guide de l'ANSSI, récemment publié en association avec le ministère de la Justice. Si certaines n'ont peut-être pas toutes été respectées, Sopra Steria a tout de même eu certains bons réflexes. « Ils ont dû déconnecter du réseau (filaire et Wi-Fi) la machine compromise (ou les machines) pour stopper la propagation. Ils ont dû également déconnecter l’ensemble des lecteurs réseau de l’entreprise. S’il était toujours connecté à la machine, le pirate n’a plus de contrôle sur celle-ci et ne pourra donc pas surveiller votre intervention » détaille Frédéric Gouth.

Mais avant de redémarrer la machine, mieux vaut procéder à une copie physique des disques durs. À défaut, l'entreprise encoure le risque « de provoquer une modification sur le système de fichiers et de perdre de l'information utile pour l'analyse de l'attaque », prévient le consultant en cybersécurité, insistant sur le fait qu'il est capital « de préserver la preuve et d'avoir des logs activés », car ceux-ci permettront de laisser des traces pour permettre de remonter le système « tel qu'il était », et que la gendarmerie ou la police puisse lancer une enquête avec comme objectif de retrouver l'attaquant.

« Il est également important d’avoir activé avant l’attaque le Shadow Copy, sur les serveurs de fichiers notamment, car cela permet d'effectuer des sauvegardes automatiques ou manuelles de fichiers ou de disques, même s'ils sont en cours d'utilisation.
Cela permet, si un fichier est chiffré par un ransomware, de faire un clic droit dessus et de revenir sur une version précédente du fichier sans avoir besoin de le déchiffrer 
», poursuit-il.

La communication de crise de Sopra Steria à la loupe

Après avoir détecté l'attaque et mis hors ligne les services pouvant être exposés aux ravisseurs du web, Sopra Steria n'a pas gardé le silence bien longtemps. Alors que certaines entreprises attendent plusieurs jours, l'ESN avait déjà publié un communiqué de presse le lendemain et contacté ses différents clients, partenaires, ainsi que les autorités compétentes.

L'entrée en vigueur du RGPD il y a deux ans et demi impose de notifier à la CNIL ainsi qu'aux clients toute violation de données personnelles, afin de ne pas s'exposer, à terme, une amende qui pourrait atteindre jusqu'à 4% du chiffre d'affaires annuel de l'entreprise. « Sopra Steria a bien fait les choses en communicant rapidement dessus », note Jérôme Thémée.

Et alors que Sopra Steria n'a pas encore communiqué sur l'ampleur de l'attaque, le futur proche de la firme parisienne sera consacré à l'après-crise. « Ce qui va se passer en interne, ce sera un travail de plusieurs semaines », annonce d'emblée l'ancien hacker Jérôme Thémée.

Modifié le 23/10/2020 à 10h02

Soyez toujours courtois dans vos commentaires et respectez le réglement de la communauté.

22
23
Voir tous les messages sur le forum

Actualités récentes

Black Friday : les meilleurs bons plans et promos high-tech en DIRECT
Black Friday : le TOP des offres Amazon et Cdiscount à saisir avant minuit 🔥
Black Friday : les 3 meilleures offres de PC portables en promotion
La souris gamer Razer Naga Trinity à prix cassé avec le Black Friday Fnac
Black Friday : offrez une enceinte JBL Xtreme 2 Gun Metal à -50% à la Fnac
Black Friday Amazon : l'iPhone SE 64 Go est 40 € moins cher 🔥
L'aventure lunaire : un défi des années 2020
Black Friday : Le smartphone Xiaomi Redmi Note 9 Pro au meilleur prix jamais vu
La manette Xbox Series bleue baisse de prix sur Amazon pour le Black Friday
Black Friday : meilleur prix jamais vu sur ce casque Sennheiser HD 599 sur Amazon
Haut de page