L’ANSSI annonce que Centreon a été ciblé par des attaquants étatiques
L’annonce a ébranlé la communauté de la sécurité des systèmes d’information, obligeant même Centreon a nié la comparaison faite avec l’attaque SolarWinds. En début de semaine, l’ANSSI a publié une alerte via le CERT-FR signalant que certains produits développés par Centreon, utilisés par des organisations critiques (publiques et privées) françaises ont été la cible d’attaques sophistiquées, et ce depuis près de 3 ans. Comme le précise le rapport technique de l’Autorité française, "cette campagne a principalement touché des prestataires de services informatiques, notamment d’hébergement web". L’attaque s’appuie sur des techniques éprouvées par certains groupes assimilés à la Russie, ce qui a motivé les inquiétudes initiales des autorités. Dans les faits, les attaques ont ciblé les systèmes Centreon qui restaient connectés à internet ; or, on rappelle que Centreon est une solution de supervision des applications, systèmes et réseaux. A ce titre, exposer son Centreon sur Internet n’est pas recommandé. Du tout. Ce point laisse ainsi penser que ces attaques semblent plutôt être une exploitation opportuniste de systèmes exposés à internet plutôt qu’une attaque par rebond, comme dans le cas de SolarWinds. D’autre part, Centreon précise dans un communiqué que les solutions affectées par les attaques datent de 2014 ; comme le précise l’entreprise, "[la version ciblée par l’attaque] n’est non seulement plus supportée depuis plus de 5 ans, mais a semble-t-il également été déployée sans respect de sécurisation des serveurs et des réseaux, notamment des connexions vers l’extérieur des entités concernées". Au terme des investigations techniques menées, Centreon a pu confirmer qu’aucun client n’a été affecté par l’attaque identifiée, et la robustesse de sa solution n’est plus remise en cause. C’étaient bien des mauvaises pratiques d’hygiène informatique qui ont permis cette exploitation très limitée.
Des chercheurs en sécurité renforcent, à leur insu, la robustesse d’un ransomware
Des chercheurs en cryptographie se sont intéressés au cas du malware Avaddon et ont identifié une faille dans sa mise en œuvre ; forts de ce constat, ils ont publié leurs travaux sur arXiv et, dans la foulée, ont publié un outil pour déchiffrer les données des victimes du ransomware, pensant rendre service à la communauté. Hélas, les auteurs du ransomware ont eu vent de ces découvertes, et après avoir analysé les travaux des chercheurs, ils ont…corrigé la faille du ransomware. Retour à la case départ, donc. Pas sûr que ce fut le résultat escompté par les jeunes chercheurs.
Let’s Encrypt modernise ses infrastructures pour se préparer aux situations de crise
En février 2020, un bug affectant la conformité des certificats délivrés par Let’s Encrypt les a obligés à révoquer et à remplacer trois millions de certificats actifs. Cela représentait environ 2,6% de tous les certificats actifs. Si un tel scénario venait à se répéter, mais venait à affecter tous les certificats délivrés par a société, cela représenterait plus de 150 millions de certificats à renouveler en moins de 24h. Partant de ce constat et ayant a fortiori tiré les leçons de l’incident de l’année dernière, Let’s Encrypt a annoncé avoir profondément modifié leurs infrastructures pour être capable de faire face à une telle situation, si elle devait survenir. Les serveurs, la connectivité, les capacités de calculs, cryptographie, mise à jour de leur API, tout a été pensé pour permettre à l’entreprise de pouvoir délivrer…864 000 000 opérations de signature en 24 heures à partir d’un seul data center. Ce qui semble suffisant, pour le moment.
La lente mise en œuvre de la cybersécurité dans le secteur hospitalier
Impossible de passer à côté de l’événement : plusieurs CHU ont été victimes de rançongiciels au cours des derniers jours. Au-delà de l’alarmisme et du catastrophisme martelé dans les journaux, il convient de rappeler plusieurs points : la première, le plus évident, c’est que les CHU et le secteur de la Santé n’avaient évidemment pas besoin de faire face à ce genre de situation dans cette période de pandémie. Les hôpitaux français connaissent, de plus, une crise structurelle profonde et durable, qui se traduit par le manque de moyens à tous les niveaux. Le second point est lié au fait que l’État a conscience, depuis plusieurs années déjà, du besoin d’accompagnement et d’amélioration des systèmes d’informations des établissements et organisation du secteur de la Santé. Cela s’est traduit par des initiatives successives : dès 2017, le ministère des Solidarités et de la Santé a mis en place un dispositif de traitement des signalements des incidents de sécurité des systèmes d’information des structures de santé. A cet égard, la cellule Accompagnement Cybersécurité des Structures de Santé (ACSS) propose un accompagnement et un suivi dans le cadre du traitement des incidents et apporte une démarche méthodique pour améliorer la résilience de structures face aux actes de cybermalveillance. En 2019, l’Agence du Numérique en Santé a été créée, avec pour mission de créer les conditions du développement et de la régulation du numérique en santé, à promouvoir l’innovation au profit des professionnels et des usagers et à assister les pouvoirs publics dans la conduite de projets numériques d’intérêt national. L’ANS a établi tout un ensemble de programmes nationaux, pour mieux appréhender le Virage Numérique, et notamment des projets spécifiquement orientés vers l’amélioration de la cybersécurité des systèmes d’information de santé. Dans ce contexte, les groupements hospitaliers territoriaux sont à même de centraliser la structuration de la cybersécurité pour les CHU ; la démarche est initiée, mais le processus n’en reste pas moins long. Ce n’est donc malheureusement pas surprenant de voir des CHU être victimes de rançongiciels, mais cela ne veut pas dire que rien n’est fait pour améliorer la situation.
Y’a plus, je laisse ?
L’ANSSI a mis une série de vidéos en ligne pour sensibiliser aux bonnes pratiques d’hygiène informatique. Le message sous-jacent : "Pas besoin de connaître des espions pour faire face aux menaces cyber".