Sopra Steria, sérieusement touché par le ransomware Ryuk : ce qu'en pensent les experts cyber

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 23 octobre 2020 à 10h02

Le groupe français aux 45 000 employés, pourtant réputé pour être précautionneux, a laissé entrer les hackers dans son système informatique.

Sopra Steria a annoncé, mercredi 21 octobre 2020, avoir détecté une cyberattaque sur son réseau informatique la veille, le mardi 20 octobre. Le spécialiste de la transformation digitale aux 45 000 employés a alors indiqué, dans un communiqué de presse laconique, avoir pris des mesures pour limiter la propagation de l'infection. Derrière cette attaque, on retrouverait le ransomware Ryuk (mais pas que !) bien connu du monde cyber désormais. Réputé pour sa sophistication, le groupe qui est à sa tête a réussi à transiter au sein du système informatique pour atteindre l'annuaire Active Directory (qui fait partie de l'architecture de Microsoft).

Pour savoir qui se cache derrière l'attaque, comment celle-ci a pu avoir lieu et quelles en seront les conséquences, nous avons interrogé deux experts : Jérôme Thémée, fondateur de l'organisme de formation ESD Cybersecurity Academy ; et Frédéric Gouth, consultant en cybersécurité et réserviste de la Gendarmerie nationale au pôle Cybercriminalité.

Sopra Steria, membre du Campus cyber et ESN touchée, plus aucune société à l'abri ?

Après l'armateur CMA-CGM en France ou l'éditeur de logiciels Software AG en Allemagne, la liste étant non-exhaustive, de plus en plus de gros groupes, pourtant sensibilisés aux risques cyber, sont touchés par des attaques informatiques, qui font parfois plus que perturber les systèmes, puisqu'elles permettent le vol de données personnelles.

« Personne n'est inattaquable », affirme Jérôme Thémée. « Sopra Steria investit dans la sécurité des systèmes d'information, et a ce qu'il faut pour se protéger. Il faut bien comprendre que malgré tout cela, il reste des risques résiduels », poursuit-il. La moindre brèche suffit donc à se frayer un chemin jusqu'à certaines parties critiques du réseau. « Là où Sopra Steria a pu être surpris, c'est que les hackers ont réussi à atteindre un noyau assez central dans l'entreprise. On pourrait lui jeter la pierre, mais en même temps, il faut se rendre compte que les grands groupes ont d'importants périmètres à sécuriser », nous explique l'ancien hacker.

Son constat est partagé par Frédéric Gouth, pour qui « personne n'est à l'abri, même les entreprises dans le domaine de l'IT ». La plus grosse faille reste en effet l'humain, et investir dans le matériel pour donner l'illusion d'une sécurisation ne suffit plus. Pour le consultant, « c'est même une grosse erreur car s’il y a 20 ou 30 ans nous faisions de la sécurité périmétrique, maintenant nous devons viser la défense en profondeur, c'est-à-dire d’avoir plusieurs lignes de défense indépendantes et que chaque ligne constitue une barrière autonome contre les attaques (politiques de sécurité et procédures, sécurité physique, DMZ, sécurité du réseau interne, sécurité des PC et serveurs, sécurité des applications, sécurité des données, etc.) ».

Comment se prémunir et se débarrasser dun ransomware ?

Ryuk, bourreau de Sopra

Le groupe derrière l'attaque de Sopra Steria est connu pour avoir déjà utilisé Ryuk. Et ce n'est pas une bonne nouvelle. Apparu en 2018, s'étant fait oublier et réapparu en grande pompe au mois de septembre, le rançongiciel est réputé pour être d'une redoutable efficacité, dirigé par des hackers très organisés. « Ce que l'on sait des membres de Ryuk, c'est qu'ils sont bien identifiés aujourd'hui. Ils ne s'en cachent pas d'ailleurs. Les modes opératoires sont toujours les mêmes. Ils ont industrialisé leur routine cybercriminelle et sont à la pointe des vecteurs d'infection. Dans leur façon de faire, ils utilisent "ce qui vient de sortir" », nous détaille Jérôme Thémée.

Preuve de sa volatilité, Ryuk sait parfaitement exploiter la vulnérabilité Zerologon, qui lui permet « de passer du phishing initial au chiffrement complet à l'échelle du domaine en seulement cinq heures », précise Frédéric Gouth. « La vulnérabilité Zerologon permet à un attaquant non authentifié disposant d'un accès réseau à un contrôleur de domaine de compromettre complètement tous les services d'identité Active Directory ». Zerologon « permet de pénétrer en vertical dans une organisation, et les attaquants n'ont plus qu'à finir le travail », complète Jérôme Thémée.

C'est donc vers l'annuaire Active Directory que les attaquants se sont dirigés. Pour une attaque dont la criticité atteint le niveau maximal (Zerologon a été notée 10 sur 10 par le Common Vulnerability Scoring System ou CVSS), comme nous l'explique Frédéric Gouth.

Ryuk - Emotet - Trickbot, le cocktail explosif destiné à Sopra Steria

Outre Ryuk, une source tierce nous informe en parallèle que Sopra Steria a également subi un assaut du malware Emotet et, plus étonnant encore, de Trickbot, pas vraiment chassé par Microsoft, donc.

Une fois que les hackers ont pu élever leur niveau de privilèges (grâce à la faille Zerologon), ils ont pu utiliser plusieurs outils comme Cobalt Strike, WMI, AdFind et PowerShell, pour faire aboutir leur assaut.

Comment Ryuk a-t-il pu pénétrer dans le système informatique ?

C'est évidemment une question capitale. Mais la réponse n'aura rien d'extraordinaire. Ici, la méthode est traditionnelle, et fait suite à un travail minutieux, une préparation effectuée sur plusieurs jours. Pour Jérôme Thémée, « tout peut partir d'un email avec une pièce-jointe piégée utilisant une vulnérabilité qui vient de sortir. Il suffit d'un utilisateur pas assez bien sensibilisé ou qui fait une bêtise pour avoir une telle catastrophe. On est vraiment sur un Covid numérique ».

Concernant l'ampleur du nombre de personnes ou de données touchées, il est difficile de le quantifier. « L'annuaire peut se décomposer. Dans tous les cas, du fait que les attaquants ont atteint l'annuaire, ils peuvent atteindre des données à caractère personnel », nous dit le fondateur de l'ESD Academy. Parmi les données, on pourrait retrouver des noms, prénoms, adresses postales, adresses électroniques et numéros de téléphone. « Tant qu'on ne saura pas exactement ce qu'ils ont réussi à faire sur l'annuaire, on ne pourra pas définir le niveau d'impact ».

Ce qui pourrait être ennuyeux, c'est que comme toute attaque, elle aurait pu être évitée. Frédéric Gouth nous explique qu'« un patch a été publié en août pour corriger cette faille ». Donc dans le cas où Sopra Steria a bien été frappée par Ryuk (toutes nos informations vont dans ce sens), « cela voudrait dire que leurs serveurs n'avaient pas été mis à jour, et donc que les préconisations de l'ANSSI n'ont pas été suivies ».

Quelle réaction face à une attaque de type rançongiciel ?

Face à une attaque informatique de type rançongiciel, il est d'usage de suivre des recommandations, recommandations que l'on peut retrouver dans un guide de l'ANSSI, récemment publié en association avec le ministère de la Justice. Si certaines n'ont peut-être pas toutes été respectées, Sopra Steria a tout de même eu certains bons réflexes. « Ils ont dû déconnecter du réseau (filaire et Wi-Fi) la machine compromise (ou les machines) pour stopper la propagation. Ils ont dû également déconnecter l’ensemble des lecteurs réseau de l’entreprise. S’il était toujours connecté à la machine, le pirate n’a plus de contrôle sur celle-ci et ne pourra donc pas surveiller votre intervention » détaille Frédéric Gouth.

Mais avant de redémarrer la machine, mieux vaut procéder à une copie physique des disques durs. À défaut, l'entreprise encoure le risque « de provoquer une modification sur le système de fichiers et de perdre de l'information utile pour l'analyse de l'attaque », prévient le consultant en cybersécurité, insistant sur le fait qu'il est capital « de préserver la preuve et d'avoir des logs activés », car ceux-ci permettront de laisser des traces pour permettre de remonter le système « tel qu'il était », et que la gendarmerie ou la police puisse lancer une enquête avec comme objectif de retrouver l'attaquant.

« Il est également important d’avoir activé avant l’attaque le Shadow Copy, sur les serveurs de fichiers notamment, car cela permet d'effectuer des sauvegardes automatiques ou manuelles de fichiers ou de disques, même s'ils sont en cours d'utilisation. Cela permet, si un fichier est chiffré par un ransomware, de faire un clic droit dessus et de revenir sur une version précédente du fichier sans avoir besoin de le déchiffrer », poursuit-il.

La communication de crise de Sopra Steria à la loupe

Après avoir détecté l'attaque et mis hors ligne les services pouvant être exposés aux ravisseurs du web, Sopra Steria n'a pas gardé le silence bien longtemps. Alors que certaines entreprises attendent plusieurs jours, l'ESN avait déjà publié un communiqué de presse le lendemain et contacté ses différents clients, partenaires, ainsi que les autorités compétentes.

L'entrée en vigueur du RGPD il y a deux ans et demi impose de notifier à la CNIL ainsi qu'aux clients toute violation de données personnelles, afin de ne pas s'exposer, à terme, une amende qui pourrait atteindre jusqu'à 4% du chiffre d'affaires annuel de l'entreprise. « Sopra Steria a bien fait les choses en communicant rapidement dessus », note Jérôme Thémée.

Et alors que Sopra Steria n'a pas encore communiqué sur l'ampleur de l'attaque, le futur proche de la firme parisienne sera consacré à l'après-crise. « Ce qui va se passer en interne, ce sera un travail de plusieurs semaines », annonce d'emblée l'ancien hacker Jérôme Thémée.

Source : communiqué de presse

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

Vanilla

Comment une SSII de la taille de sopra steria, la deuxième française derrière cap Gemini, je rappelle… peut elle ne pas avoir patché ses serveurs depuis aout ?! Cela dépasse l’entendement!!

samfisher3801

La réponse est dans la question en fait.
Les grosses boîtes croulent sous les process, les validations par des gens incompétents, etc.

kast_or

Votre réaction me paraît disproportionnée. Vous n avez aucune information pour juger quoi que ce soit. Rien ne vous dit qu ils avaient 2 ans de retard sur les patch, juste qu’ils n ont pas appliqué un correctif d août. Ce n’est même pas il y a 2 mois. Comme dit, les process internes peuvent être parfois longs et le service informatique a également énormément de choses à gérer en ce moment entre les collabs en télétravail & co. On a pas encore toutes les cartes pour dire ce qui a péché.
D ailleurs, j apprécie le ton plutôt modéré de l article. Les choses ne sont pas si simple et il suffit d une fois, une faille.

J imagine que vous travaillez dans l informatique également pour utiliser un ton si catégorique, donc prenez 5 minutes pour faire votre autocritique et voir si vous et votre boîte êtes si irréprochables que ça.
Votre message sans nuance m a un peu fait penser aux twits de je sais plus quelle femme qui chiait sur le travail des équipes ayant développé l application stopcovid.
Non je ne bosse pas pour Sopra, mais ce genre de discours condescendant m irrite toujours un peu. Restons humbles, et demandons nous d abord si ça n aurait pas pu nous arriver

bmustang

quand on voit les patchs que microsoft nous pousse sur windows 10, on est en droit de se poser des questions quand il s’agit d’un serveur ! Non ! Après tous les patchs ne sont pas pourris comme celui de zerologon

osberic

Hahaha les boulets! Ca m’étonne pas de la part des créateurs de l’infâme Louvois logiciel à 150M€, qui ne marche pas.

JamBoost

Totalement d’accord avec votre commentaire. Les gens ont vite fait d’insulter anonymement sur internet sans savoir de quoi ils parlent.

playAnth95

J’ai bossé a sopra pendant 3ans, et on nous rappelait souvent les règles de sécurités… ne pas ouvrir des mails inconnus contenant des pièces jointes inconnus etc… le mot de passe de notre session Windows devait être changé tous les 3mois etc…

Peter_Vilmen

150 000 000 par an j’ai lu! À ce prix c’est pas un système de gestion de paies que je te fais mais une intelligence artificielle supra humaine oO

fm-gizmo

Je rappelle la nécessaire modestie dans les problèmes de sécurité (et dans beaucoup de domaines d’ailleurs).
Je suis très preneur du retour qui sera fait sur cet incident car, si l’on se doit d’être mesuré dans nos jugements (même si cela fait toujours du bien de s’emporter), certains faits interpellent et l’on peut espérer une explication des choix faits. Tout en rappelant qu’une seule victoire ou une seule défaite ne suffit pas pour indiquer la valeur dune stratégie (« une bonne stratégie ne gagne pas à tous les coups » mais aussi que « même une horloge arrêtée a raison 2 fois par jour »).

Le choix (parce que s’en est un, même si c’est un « non-choix ») de ne pas patcher contre zérologon était-il bon ou mauvais ? La quasi totalité des éléments en ma possession disent que c’est un mauvais choix, mais (et c’est là tout l’intérêt) Sopra a-t-il eu de bonnes raisons de faire ce choix ? Et j’aimerai les connaitre parce, dans ce cas, que je les ai loupées. On pourrait imaginer comme bonnes raisons le fait que le patch est totalement incompatible avec un AD dans une forêt de plus de 5 éléments (ça je m’en moque), ou qu’il induit une perte de performance de 50% (ça me concerne), ou autre.

Et c’est là que nous verrons la qualité de Sopra: sa capacité à expliquer ses erreurs et ses choix afin de nous permettre de ne pas faire les mêmes, ou bien de se dire que la « bonne pratique tellement géniale » en fait ne marche pas dans tel ou tel environnement.

Par exemple l’injonction « changez votre mot de passe tous les 3 mois », est une mauvaise injonction… sauf dans des milieux à haute sécurité. Dans un environnement « normal » il est contreproductif (cf étude de l’Université de Caroline du Nord portant sur les années 2009-2010, désolé le papier n’est plus disponible). Steria l’applique, c’est pertinent (bien qu’il est toujours intéressant de vérifier), mais pour moi, non.

Bref « attendre et voir ». Clubic, je compte sur vous pour un suivi de cet incident :-)…

lnho

Concernant Louvois, la faute est grandement celle de l’état avec un cahier des charges absolument instable, une gouvernance de projet changeante… Bref… facile de taper sur celui qui fabrique… mais personne ne se pose la question de la responsabilité de celui qui exprime son besoin. Et dans le cas présent, les différents articles du Canard Enchaine par exemple, pointant fortement la responsabilité de l’état…