Une version obsolète d'un logiciel concernée et aucun client de son éditeur, Centreon, touché: la découverte par une agence gouvernementale française d'une attaque
informatique s'est rapidement dégonflée mardi, au lendemain de sa révélation.
Dans une note technique dévoilée lundi, l'Agence française de la sécurité des systèmes d'information (Anssi), le gardien de la sécurité informatique, révélait que "les premières compromissions identifiées" dataient de fin 2017 et qu'elles s'étaient poursuivies jusqu'en 2020.
Etait alors concernée la société Centreon, qui compte parmi ses clients d'importantes entreprises françaises comme Airbus et Total ou le ministère de la Justice, faisant craindre que des entités de premier plan aient pu être touchées. Son logiciel sert de tour de contrôle des systèmes informatiques, afin de repérer pannes et autres problèmes.
Mais, dès mardi, le groupe, après avoir échangé avec l'Anssi, a assuré qu'aucun de ses clients n'était concerné, tandis que la Russie, soupçonnée en raison du mode opératoire détecté, a catégoriquement nié en être à l'origine.
"L'Anssi précise que seule une quinzaine d'entités ont été la cible de cette campagne, et qu'elles sont toutes utilisatrices d'une version open source (libre et gratuite, NDLR) obsolète, qui n'est plus supportée depuis 5 ans", a précisé Centreon dans un communiqué.
Une version confirmée quelques heures plus tard par l'agence gouvernementale, selon laquelle "aucun élément () ne permet de supposer de compromission du logiciel avant sa mise en production, ni dans ses dépôts libres, ni chez l'éditeur".
L'Anssi a également mis en garde contre l'exposition sur internet de ce type de logiciel, surtout lorsqu'il est associé à des mots de passe faiblement sécurisés, comme elle l'a constaté dans cette affaire.
Contactés par l'AFP, de nombreux clients du groupe sont restés muets quant au fait d'avoir été ou non affectés par cette attaque.
Mais d'autres, dont Air France, Accor, Total, Geodis (groupe SNCF), la Fondation de France ou Action contre la Faim, ont dit n'avoir pas été touchés. "Nous restons cependant très vigilants et continuons à surveiller de près nos systèmes", a ajouté Total.
Selon Centreon, la version libre de son logiciel est utilisée sur quelque "200.000 postes", et la version commerciale par "720 clients".
- Démenti de la Russie -
L'entreprise a ainsi conseillé aux utilisateurs d'une version libre de son logiciel de vérifier si elle est postérieure à 2015 et de se méfier des "intégrateurs tiers".
La société a également indiqué qu'aucun "code malicieux" n'avait été propagé par Centreon et qu'"aucun parallèle avec d'autres attaques" de type SolarWinds (une gigantesque cyberattaque aux Etats-Unis en décembre 2020) ne pouvait être fait.
Dans sa note, qui se limite à une expertise technique et qui ne formule donc pas d'accusation, l'Anssi a noté que l'attaque en question présentait "de nombreuses similarités avec des campagnes antérieures du mode opératoire Sandworm", généralement attribué au renseignement militaire russe.
Le Kremlin a réagi mardi en jugeant "absurde" de considérer que la Russie puisse être derrière une telle cyberattaque.
Moscou a toujours démenti avoir mené des attaques informatiques contre ses rivaux occidentaux, malgré la multiplication des accusations en ce sens, en Europe comme aux Etats-Unis, après le piratage de nombreuses institutions et entreprises.
"La Russie n'a jamais eu, n'a pas, et ne peut avoir le moindre rapport avec la cybercriminalité quelle qu'elle soit", a martelé devant la presse le porte-parole du Kremlin, Dmitri Peskov. AFP
Le parquet de Paris a, quant à lui, indiqué qu'aucune enquête n'avait été ouverte à ce stade.