Sopra Steria, sérieusement touché par le ransomware Ryuk : ce qu'en pensent les experts cyber

23 octobre 2020 à 10h02
22
Sopra Steria logo

Le groupe français aux 45 000 employés, pourtant réputé pour être précautionneux, a laissé entrer les hackers dans son système informatique.

Sopra Steria a annoncé, mercredi 21 octobre 2020, avoir détecté une cyberattaque sur son réseau informatique la veille, le mardi 20 octobre. Le spécialiste de la transformation digitale aux 45 000 employés a alors indiqué, dans un communiqué de presse laconique, avoir pris des mesures pour limiter la propagation de l'infection. Derrière cette attaque, on retrouverait le ransomware Ryuk (mais pas que !) bien connu du monde cyber désormais. Réputé pour sa sophistication, le groupe qui est à sa tête a réussi à transiter au sein du système informatique pour atteindre l'annuaire Active Directory (qui fait partie de l'architecture de Microsoft).

Pour savoir qui se cache derrière l'attaque, comment celle-ci a pu avoir lieu et quelles en seront les conséquences, nous avons interrogé deux experts : Jérôme Thémée, fondateur de l'organisme de formation ESD Cybersecurity Academy ; et Frédéric Gouth , consultant en cybersécurité et réserviste de la Gendarmerie nationale au pôle Cybercriminalité.

Sopra Steria, membre du Campus cyber et ESN touchée, plus aucune société à l'abri ?

Après l'armateur CMA-CGM en France ou l'éditeur de logiciels Software AG en Allemagne, la liste étant non-exhaustive, de plus en plus de gros groupes, pourtant sensibilisés aux risques cyber, sont touchés par des attaques informatiques, qui font parfois plus que perturber les systèmes, puisqu'elles permettent le vol de données personnelles .

« Personne n'est inattaquable », affirme Jérôme Thémée. « Sopra Steria investit dans la sécurité des systèmes d'information, et a ce qu'il faut pour se protéger. Il faut bien comprendre que malgré tout cela, il reste des risques résiduels », poursuit-il. La moindre brèche suffit donc à se frayer un chemin jusqu'à certaines parties critiques du réseau. « Là où Sopra Steria a pu être surpris, c'est que les hackers ont réussi à atteindre un noyau assez central dans l'entreprise. On pourrait lui jeter la pierre, mais en même temps, il faut se rendre compte que les grands groupes ont d'importants périmètres à sécuriser », nous explique l'ancien hacker.

Son constat est partagé par Frédéric Gouth, pour qui « personne n'est à l'abri, même les entreprises dans le domaine de l'IT ». La plus grosse faille reste en effet l'humain, et investir dans le matériel pour donner l'illusion d'une sécurisation ne suffit plus. Pour le consultant, « c'est même une grosse erreur car s’il y a 20 ou 30 ans nous faisions de la sécurité périmétrique, maintenant nous devons viser la défense en profondeur, c'est-à-dire d’avoir plusieurs lignes de défense indépendantes et que chaque ligne constitue une barrière autonome contre les attaques (politiques de sécurité et procédures, sécurité physique, DMZ, sécurité du réseau interne, sécurité des PC et serveurs, sécurité des applications, sécurité des données, etc.) ».

Comment se prémunir et se débarrasser d’un ransomware ?

Ryuk, bourreau de Sopra

Le groupe derrière l'attaque de Sopra Steria est connu pour avoir déjà utilisé Ryuk. Et ce n'est pas une bonne nouvelle. Apparu en 2018, s'étant fait oublier et réapparu en grande pompe au mois de septembre, le rançongiciel est réputé pour être d'une redoutable efficacité, dirigé par des hackers très organisés. « Ce que l'on sait des membres de Ryuk, c'est qu'ils sont bien identifiés aujourd'hui. Ils ne s'en cachent pas d'ailleurs. Les modes opératoires sont toujours les mêmes. Ils ont industrialisé leur routine cybercriminelle et sont à la pointe des vecteurs d'infection. Dans leur façon de faire, ils utilisent "ce qui vient de sortir" », nous détaille Jérôme Thémée.

Preuve de sa volatilité, Ryuk sait parfaitement exploiter la vulnérabilité Zerologon, qui lui permet « de passer du phishing initial au chiffrement complet à l'échelle du domaine en seulement cinq heures », précise Frédéric Gouth. « La vulnérabilité Zerologon permet à un attaquant non authentifié disposant d'un accès réseau à un contrôleur de domaine de compromettre complètement tous les services d'identité Active Directory ». Zerologon « permet de pénétrer en vertical dans une organisation, et les attaquants n'ont plus qu'à finir le travail », complète Jérôme Thémée.

C'est donc vers l'annuaire Active Directory que les attaquants se sont dirigés. Pour une attaque dont la criticité atteint le niveau maximal (Zerologon a été notée 10 sur 10 par le Common Vulnerability Scoring System ou CVSS), comme nous l'explique Frédéric Gouth.

Ryuk - Emotet - Trickbot, le cocktail explosif destiné à Sopra Steria

malware virus © Pixabay

Outre Ryuk, une source tierce nous informe en parallèle que Sopra Steria a également subi un assaut du malware Emotet et, plus étonnant encore, de Trickbot, pas vraiment chassé par Microsoft, donc.

Une fois que les hackers ont pu élever leur niveau de privilèges (grâce à la faille Zerologon), ils ont pu utiliser plusieurs outils comme Cobalt Strike, WMI, AdFind et PowerShell, pour faire aboutir leur assaut.

Comment Ryuk a-t-il pu pénétrer dans le système informatique ?

C'est évidemment une question capitale. Mais la réponse n'aura rien d'extraordinaire. Ici, la méthode est traditionnelle, et fait suite à un travail minutieux, une préparation effectuée sur plusieurs jours. Pour Jérôme Thémée, « tout peut partir d'un email avec une pièce-jointe piégée utilisant une vulnérabilité qui vient de sortir. Il suffit d'un utilisateur pas assez bien sensibilisé ou qui fait une bêtise pour avoir une telle catastrophe. On est vraiment sur un Covid numérique ».

Concernant l'ampleur du nombre de personnes ou de données touchées, il est difficile de le quantifier. « L'annuaire peut se décomposer. Dans tous les cas, du fait que les attaquants ont atteint l'annuaire, ils peuvent atteindre des données à caractère personnel », nous dit le fondateur de l'ESD Academy. Parmi les données, on pourrait retrouver des noms, prénoms, adresses postales, adresses électroniques et numéros de téléphone. « Tant qu'on ne saura pas exactement ce qu'ils ont réussi à faire sur l'annuaire, on ne pourra pas définir le niveau d'impact ».

Ce qui pourrait être ennuyeux, c'est que comme toute attaque, elle aurait pu être évitée. Frédéric Gouth nous explique qu'« un patch a été publié en août pour corriger cette faille ». Donc dans le cas où Sopra Steria a bien été frappée par Ryuk (toutes nos informations vont dans ce sens), « cela voudrait dire que leurs serveurs n'avaient pas été mis à jour, et donc que les préconisations de l'ANSSI n'ont pas été suivies ».

Quelle réaction face à une attaque de type rançongiciel ?

Face à une attaque informatique de type rançongiciel, il est d'usage de suivre des recommandations, recommandations que l'on peut retrouver dans un guide de l'ANSSI , récemment publié en association avec le ministère de la Justice. Si certaines n'ont peut-être pas toutes été respectées, Sopra Steria a tout de même eu certains bons réflexes. « Ils ont dû déconnecter du réseau (filaire et Wi-Fi) la machine compromise (ou les machines) pour stopper la propagation. Ils ont dû également déconnecter l’ensemble des lecteurs réseau de l’entreprise. S’il était toujours connecté à la machine, le pirate n’a plus de contrôle sur celle-ci et ne pourra donc pas surveiller votre intervention » détaille Frédéric Gouth.

Mais avant de redémarrer la machine, mieux vaut procéder à une copie physique des disques durs . À défaut, l'entreprise encoure le risque « de provoquer une modification sur le système de fichiers et de perdre de l'information utile pour l'analyse de l'attaque », prévient le consultant en cybersécurité, insistant sur le fait qu'il est capital « de préserver la preuve et d'avoir des logs activés », car ceux-ci permettront de laisser des traces pour permettre de remonter le système « tel qu'il était », et que la gendarmerie ou la police puisse lancer une enquête avec comme objectif de retrouver l'attaquant.

« Il est également important d’avoir activé avant l’attaque le Shadow Copy, sur les serveurs de fichiers notamment, car cela permet d'effectuer des sauvegardes automatiques ou manuelles de fichiers ou de disques, même s'ils sont en cours d'utilisation.
Cela permet, si un fichier est chiffré par un ransomware, de faire un clic droit dessus et de revenir sur une version précédente du fichier sans avoir besoin de le déchiffrer 
», poursuit-il.

La communication de crise de Sopra Steria à la loupe

Après avoir détecté l'attaque et mis hors ligne les services pouvant être exposés aux ravisseurs du web, Sopra Steria n'a pas gardé le silence bien longtemps. Alors que certaines entreprises attendent plusieurs jours, l'ESN avait déjà publié un communiqué de presse le lendemain et contacté ses différents clients, partenaires, ainsi que les autorités compétentes.

L'entrée en vigueur du RGPD il y a deux ans et demi impose de notifier à la CNIL ainsi qu'aux clients toute violation de données personnelles, afin de ne pas s'exposer, à terme, une amende qui pourrait atteindre jusqu'à 4% du chiffre d'affaires annuel de l'entreprise. « Sopra Steria a bien fait les choses en communicant rapidement dessus », note Jérôme Thémée.

Et alors que Sopra Steria n'a pas encore communiqué sur l'ampleur de l'attaque, le futur proche de la firme parisienne sera consacré à l'après-crise. « Ce qui va se passer en interne, ce sera un travail de plusieurs semaines », annonce d'emblée l'ancien hacker Jérôme Thémée.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
22
23
Vanilla
Comment une SSII de la taille de sopra steria, la deuxième française derrière cap Gemini, je rappelle… peut elle ne pas avoir patché ses serveurs depuis aout ?! Cela dépasse l’entendement!!
samfisher3801
La réponse est dans la question en fait.<br /> Les grosses boîtes croulent sous les process, les validations par des gens incompétents, etc.
kast_or
Votre réaction me paraît disproportionnée. Vous n avez aucune information pour juger quoi que ce soit. Rien ne vous dit qu ils avaient 2 ans de retard sur les patch, juste qu’ils n ont pas appliqué un correctif d août. Ce n’est même pas il y a 2 mois. Comme dit, les process internes peuvent être parfois longs et le service informatique a également énormément de choses à gérer en ce moment entre les collabs en télétravail &amp; co. On a pas encore toutes les cartes pour dire ce qui a péché.<br /> D ailleurs, j apprécie le ton plutôt modéré de l article. Les choses ne sont pas si simple et il suffit d une fois, une faille.<br /> J imagine que vous travaillez dans l informatique également pour utiliser un ton si catégorique, donc prenez 5 minutes pour faire votre autocritique et voir si vous et votre boîte êtes si irréprochables que ça.<br /> Votre message sans nuance m a un peu fait penser aux twits de je sais plus quelle femme qui chiait sur le travail des équipes ayant développé l application stopcovid.<br /> Non je ne bosse pas pour Sopra, mais ce genre de discours condescendant m irrite toujours un peu. Restons humbles, et demandons nous d abord si ça n aurait pas pu nous arriver
bmustang
quand on voit les patchs que microsoft nous pousse sur windows 10, on est en droit de se poser des questions quand il s’agit d’un serveur ! Non ! Après tous les patchs ne sont pas pourris comme celui de zerologon
osberic
Hahaha les boulets! Ca m’étonne pas de la part des créateurs de l’infâme Louvois logiciel à 150M€, qui ne marche pas.
JamBoost
Totalement d’accord avec votre commentaire. Les gens ont vite fait d’insulter anonymement sur internet sans savoir de quoi ils parlent.
playAnth95
J’ai bossé a sopra pendant 3ans, et on nous rappelait souvent les règles de sécurités… ne pas ouvrir des mails inconnus contenant des pièces jointes inconnus etc… le mot de passe de notre session Windows devait être changé tous les 3mois etc…
Peter_Vilmen
150 000 000 par an j’ai lu! À ce prix c’est pas un système de gestion de paies que je te fais mais une intelligence artificielle supra humaine oO
fm-gizmo
Je rappelle la nécessaire modestie dans les problèmes de sécurité (et dans beaucoup de domaines d’ailleurs).<br /> Je suis très preneur du retour qui sera fait sur cet incident car, si l’on se doit d’être mesuré dans nos jugements (même si cela fait toujours du bien de s’emporter), certains faits interpellent et l’on peut espérer une explication des choix faits. Tout en rappelant qu’une seule victoire ou une seule défaite ne suffit pas pour indiquer la valeur dune stratégie («&nbsp;une bonne stratégie ne gagne pas à tous les coups&nbsp;» mais aussi que «&nbsp;même une horloge arrêtée a raison 2 fois par jour&nbsp;»).<br /> Le choix (parce que s’en est un, même si c’est un «&nbsp;non-choix&nbsp;») de ne pas patcher contre zérologon était-il bon ou mauvais ? La quasi totalité des éléments en ma possession disent que c’est un mauvais choix, mais (et c’est là tout l’intérêt) Sopra a-t-il eu de bonnes raisons de faire ce choix ? Et j’aimerai les connaitre parce, dans ce cas, que je les ai loupées. On pourrait imaginer comme bonnes raisons le fait que le patch est totalement incompatible avec un AD dans une forêt de plus de 5 éléments (ça je m’en moque), ou qu’il induit une perte de performance de 50% (ça me concerne), ou autre.<br /> Et c’est là que nous verrons la qualité de Sopra: sa capacité à expliquer ses erreurs et ses choix afin de nous permettre de ne pas faire les mêmes, ou bien de se dire que la «&nbsp;bonne pratique tellement géniale&nbsp;» en fait ne marche pas dans tel ou tel environnement.<br /> Par exemple l’injonction «&nbsp;changez votre mot de passe tous les 3 mois&nbsp;», est une mauvaise injonction… sauf dans des milieux à haute sécurité. Dans un environnement «&nbsp;normal&nbsp;» il est contreproductif (cf étude de l’Université de Caroline du Nord portant sur les années 2009-2010, désolé le papier n’est plus disponible). Steria l’applique, c’est pertinent (bien qu’il est toujours intéressant de vérifier), mais pour moi, non.<br /> Bref «&nbsp;attendre et voir&nbsp;». Clubic, je compte sur vous pour un suivi de cet incident :-)…
lnho
Concernant Louvois, la faute est grandement celle de l’état avec un cahier des charges absolument instable, une gouvernance de projet changeante… Bref… facile de taper sur celui qui fabrique… mais personne ne se pose la question de la responsabilité de celui qui exprime son besoin. Et dans le cas présent, les différents articles du Canard Enchaine par exemple, pointant fortement la responsabilité de l’état…
scudo
Hello<br /> Il faut comprendre que le «&nbsp;patch&nbsp;» MS d’aout pour zerologon NE PROTEGE RIEN du tout.<br /> Il a été prévu une application en 2 phases<br /> phase 1 (aug 2020) : modification du comportement d’audit pour consigner les connexions «&nbsp;non conformes&nbsp;» à l’aide d’event dédiés<br /> phase 2 (T1 2021): correction effective des DC pour bloquer les connexions non conformes<br /> Sans présumer de ce qu’à fait Sopra, même s’ils ont appliqué le patch d’aout, la faille existe encore, sauf à anticiper la phase 2 et appliquer une modif manuelle sur les DC, ce qui éventuellement va bloquer certains clients non conformes mais légitimes.<br /> cf https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2020-1472<br /> &lt;&lt;Lors de la phase de déploiement initiale qui commence par les mises à jour publiées le 11 août 2020, les mises à jour peuvent être installées sans aucune autre action, et les appareils et contrôleurs de domaine (DC) Windows bénéficieront d’une protection contre cette vulnérabilité. Les organisations doivent surveiller les problèmes potentiels et les corriger avant la phase de mise en conformité DC du premier trimestre 2021 sous peine de subir un refus d’accès sur les appareils.&gt;&gt;
carinae
pour rappel … l’année dernière il s’agissait d’Altran, autre ESN de taille mondiale et faisant désormais partie de Cap Gemini.<br /> Ce genre d’entreprise est souvent soumis a différents problèmes. comme dit dans les différents commentaires il y a souvent un problème de lourdeur administrative avec des process parfois très compliqués mais aussi d’autres éléments pouvant expliquer de genre de dysfonctionnement comme par exemple, le fait que les SSII ne sont pas composées uniquement d’ingénieurs IT (et oui il y aussi les fonctions supports et personnes diverses et vairées dont la sécurité n’est pas leur priorité), que certaines hébergent des applications pour les clients, que de plus en plus de clients demandent aux prestataires de travailler depuis leurs locaux ce qui signifie établissement de liens vpn, etc … avec divers clients eux mêmes pas forcement toujours a la page coté secu … et je ne parle même pas des consultants nomades travaillant donc chez les clients puis a l’agence …<br /> Bref, tout ça pour dire que la secu 100% fiable n’existe pas qu’il peut y avoir de multiples causes et il est difficile de toutes les colmater. Ce qui va etre important c’est de voir la résilience de Sopra-Steria. combien de temps ils vont mettre pour récupérer leur Si ? (j’espère pour eux qu’ils ne mettront pas 2 mois comme leur concurrent l’année derniere)
TNZ
C’est beau les discours de personne en manque d’informations.<br /> Si Steria (avant la fusion avec Sopra) n’avait pas été aux manettes, le logiciel aurait coûté beaucoup, mais beaucoup plus.<br /> As tu au moins une idée du périmètre d’intervention de Steria à l’époque ? Nan ? Donc on fait attention à ce qu’on raconte.<br /> Des officiers de l’état major sont passés aux journaux télévisés pour clarifier le rôle de Steria et l’aide que Steria a apporté aux armées sur ce sujet. Une petite recherche internet te permettra de retrouver les interviews. A noter que c’est la seule fois que j’ai vu la « grande muette » communiquer auprès du grand public.
Altaris
Je rajoute une autre info car vous l’aurez d’ici quelques jours… GRDF a été attaqué de la même manière ce mercredi.<br /> Pour l’instant, on ignore toute l’étendue, mais même méthode, AD touché…
genesya
Depuis quand les financiers s’occupent de patcher les infra ? et vu que les bons experts ca coutent cher les financiers les laissent partir puis ils sont remplacés. L’adage se confirme, recrute que des personnes moins compétentes que toi tu auras la garantie qu’elle ne te feront pas d’ombre ( cf macron + #gouv = oops.fr et une hotline par problème )
genesya
comment on fait pour prévenir BFM ? avec twitter çà marche ? #rancongiciel<br /> quand une IA entrainée spécialement pour réaliser des attaques seul les systèmes comme VFilo pourront devenir en arrière en 2 click sans que personnes ne s’en rendent compte, sauf que çà demande un annuaire et une infra gérée à l’état de l’art spécialement pour contrer le chiffrement malveillant mais c’est loin d’être la priorité des DAF de fournir le budget aux DSI si la marge n’a pas crachée encore +10% ce trimestre… merci les actionnaires, ils iront mettre leur actions ailleurs
JCLB
C’est peut-être l’état qui récupère le chomage partiel fictif des ESN pour les «&nbsp;intercontrats&nbsp;»
Nmut
Tous les soft que j’ai fait ou commandés qui sont partis en couille n’étaient pas catastrophiques du fait du fournisseur seul.<br /> Je dirais même que la responsabilité est toujours partagée mais avec une prépondérance du coté du client (mauvais cahier des charges, mauvaise gestion des exigences, modifications à la volée, informations primordiales non données, recettes loufoques, …).
mathieu34
Le problème vient aussi du fait que sopra stéria gère l’outsourcing d’un grand nombre de clients et cette attaque pourrait bien infecter tous ses clients sans qu’ils ne s’en apercoivent.<br /> Ce qui c’était passé en ukraine où une société de logiciels de comptabilité s’était fait infecté et pénétré. Une mise à jour de son logiciel, avait infecté tous ses clients et il y avait une coupure électrique d’une centrale qui avait ce logiciel. Cela peut aller loin.
cloclo69
bonjour à tous<br /> je ne suis pas étonné par beaucoup de réactions, bien à l’image de notre époque : violentes, injurieuses, accusatrices sans preuves<br /> Heureusement que d’autres sont là pour tempérer et expliquer<br /> Ah, je nous vous est pas dit : je suis chez Sopra<br /> alors j’attends pour savoir si c’est une erreur (humaine), un oubli, une faille, etc.
fm-gizmo
Bonjour,<br /> En fait, si… Contrairement à ma première impression, identique à la tienne, le patch bloque les implémentations «&nbsp;naïves&nbsp;» de l’exploitation zerologon (donnant d’ailleurs une fausse impression de sécurité avec les outils disponibles).<br /> Une fois tes «&nbsp;vieux tromblons incapables de faire de l’authentification sécurisée&nbsp;» identifiés grâce au patch n°1, tu peux les regrouper dans une GPO pour les exclure de la protection disponible et l’activer pour les autres.<br /> D’où l’intérêt du retour sur incident: Sopra/Steria a peut-être une telle quantité de «&nbsp;vieux tromblons&nbsp;» (ceux-ci pouvant être une méga baie de stockage, des postes en Windows 95 seuls à même de supporter une application datant de Mathusalem, ou autres billevesées) qu’elle n’est pas en mesure, raisonnablement, de mettre en place la protection. Et donc permettre aux autres DSI d’avoir des arguments pour détruire/renouveler/cantoner tel ou tel parc obsolète, puisque «&nbsp;vous avez vu ce que cela a fait chez Steria… alors chez nous…&nbsp;».
carinae
@CLAUDE BASSET ou … plus vicieux encore … si la faille n’avait pas été exploitée avant la communication par Microsoft … Quoiqu’il en soit … a priori ce ne sont pas des amateurs qui ont fait ça …
Pascal_Fonteneau
Comme certains ici, je ne pense pas que les mesures prises en terme de protection ai été insuffisante. A part quelques «&nbsp;clowns&nbsp;», personne ne peut garantir qu’il fera face à toutes les attaques! Ne leur jetons pas la pierre. Par contre pour Louvois et son successeur Source Solde (20 ans de dev au total) , Sopra, puis Steria puis a nouveau Sopra Stéria ont une entière responsabilité sinon pourquoi la gendarmerie (Agorha en 2005) ou la BSPP(SAGA 2000) ont ils des logiciels qui paient des militaires sans souci ?
scudo
Bonjour,<br /> Tu aurais un lien explicatif STP?<br /> Ce que je trouve chez MS m’indique le contraire : si on applique le patch d’aout seul, on n’est pas protégé:<br /> https://support.microsoft.com/en-us/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc<br /> To protect your environment and prevent outages, you must do the following:<br /> [UPDATE] your Domain Controllers with an update released August 11, 2020 or later.<br /> [FIND] which devices are making vulnerable connections by monitoring event logs.<br /> [ADDRESS] non-compliant devices making vulnerable connections.<br /> [ENABLE] enforcement mode to address CVE-2020-1472 in your environment.<br /> Note Step 1 of installing updates released August 11, 2020 or later will address security issue in CVE-2020-1472 for Active Directory domains and trusts, as well as Windows devices. To fully mitigate the security issue for third-party devices, you will need to complete all the steps.<br />
Voir tous les messages sur le forum

Actualités du moment

La trottinette électrique Xiaomi Mi Electric Scooter Essential à 50€ moins chère
Un CyberScore pour les plateformes numériques : l'audacieuse proposition de loi
Facebook lance sa fonction
Tesla : Les usines de Shanghai et Berlin livreront des Model Y dès 2021
Ergo Series : LG lance ses moniteurs Nano-IPS haut de gamme et ergonomiques
Forfait mobile : une offre irrésistible avec 50 Go à moins de 10€ sur le réseau Orange ou SFR
Vente flash : un pack HP PC Portable avec Windows 10, une sacoche, une imprimante à prix choc !
La Xbox Series S de nouveau disponible en précommande chez Amazon 🔥
Une ampoule LED connectée Xiaomi à prix (vraiment) cassé
Un ancien goulag va servir de ferme de minage de Bitcoin
Haut de page