Anssi

  • APT31 attaque la France

    L’ANSSI a Ă©mis hier une alerte relative Ă  une campagne en cours visant des organisations françaises. Cette vague d’attaques est menĂ©e par APT31, un groupe malveillant soupçonnĂ© d’ĂȘtre aux ordres de PĂ©kin et spĂ©cialisĂ© dans l’espionnage industriel.

  • APT31 attaque la France

    L’ANSSI a Ă©mis hier une alerte relative Ă  une campagne en cours visant des organisations françaises. Cette vague d’attaques est menĂ©e par APT31, un groupe malveillant soupçonnĂ© d’ĂȘtre aux ordres de PĂ©kin et spĂ©cialisĂ© dans l’espionnage industriel.

  • Campagne Sandworm sur certains de ses serveurs : Centreon s'explique

    Centreon, Ă©diteur de l'outil de supervision d'applications, rĂ©seaux et serveurs du mĂȘme nom qui a Ă©tĂ© la cible d'une campagne d'attaque selon le mode opĂ©ratoire Sandworm d'aprĂšs l'Anssi, vient d'apporter quelques prĂ©cisions intĂ©ressantes.

    La version la plus récente concernée est bien la 2.5.2 (comme l'indique l'Anssi dans son rapport technique) qui est sortie en novembre 2014. Cette version n'est plus supportée depuis plus de 5 ans.

    Aucun client Centreon n'a été impacté et l'Anssi lui a précisé que seulement une quinzaine d'entités, toutes utilisatrices de versions obsolÚtes, ont été la cible de la campagne.

    Enfin, d'aprÚs Centreon qui rapporte une information de l'Anssi, "aucune activité malicieuse n'est à observer à l'heure actuelle".

    Gratuits mais dangereux

    Cette mise au point a de quoi rassurer. Mais la campagne Sandworm tout comme le Solorigate doivent faire réfléchir les fournisseurs d'outils systÚmes de surveillance de réseau ou d'optimisation comme Centreon et Orion. Ces éditeurs diffusent largement les versions gratuites et fonctionnelles de logiciels ultra sensibles qui, un jour, peuvent se retourner contre ceux qui ont été tentés de tester temporairement leurs fonctionnalités.

  • Campagne Sandworm sur certains de ses serveurs : Centreon s'explique

  • CybersĂ©curitĂ© : toutes les communes concernĂ©es !

    La rĂ©gion Grand Est est passĂ©e en fĂ©vrier dernier Ă  deux doigts d'une catastrophe. Alors, mĂȘme si les communes ont connu dans leur ensemble, peu de cyberattaques sĂ©rieuses, il est temps de sensibiliser Ă©lus et fonctionnaires. C'est ce qu'entreprend l'Association des Maires de France avec le soutien de l'ANSSI en publiant aujourd'hui un guide trĂšs pĂ©dagogique.

    « Au cours de l’annĂ©e 2019, l’ANSSI a recensĂ© et traitĂ© 92 incidents de sĂ©curitĂ© d’origine cyber affectant les communes et les intercommunalitĂ©s, soit prĂšs de 25% des incidents totaux traitĂ©s par l’agence sur cette pĂ©riode. Cette proportion consĂ©quente reste toutefois Ă  nuancer au regard de la gravitĂ© relative des compromissions dĂ©tectĂ©es sur le systĂšme d’information des entitĂ©s concernĂ©es. Ces derniĂšres n’ont pas fait l’objet en 2019, ni mĂȘme les annĂ©es prĂ©cĂ©dentes, d’incident majeur ou d’opĂ©ration de cyberdĂ©fense. » 

    Ce constat assez rassurant apparaĂźt dans le guide intitulĂ© « CybersĂ©curitĂ© : toutes les communes et intercommunalitĂ©s sont concernĂ©es » que vient de publier l'Association des Maires de France (AMF) avec la collaboration de l'Agence Nationale de la SĂ©curitĂ© des SystĂšmes d'Information (ANSSI). Mais mĂȘme si la majoritĂ© des incidents affectant les SI des collectivitĂ©s ne consiste encore que dans la dĂ©figuration de sites web, il ne faut pas nĂ©gliger les risques encourus et il est urgent d'intĂ©grer la cybersĂ©curitĂ© dans les pratiques et les budgets.

    L'attaque dont a Ă©tĂ© victime la rĂ©gion Grand Est en fĂ©vrier dernier (lire l'article paru dans L'1FO-CR n°1) est dans toutes les mĂ©moires mĂȘme si le sujet n'est pas Ă©voquĂ© dans le guide.

    Dans ce document de 32 pages, l'ANSSI reprend notamment les conclusions de travaux menĂ©s avec des collectivitĂ©s territoriales bretonnes et vise Ă  une prise de conscience des Ă©lus comme des fonctionnaires territoriaux. Il en ressort 30 recommandations aussi bien pour la gouvernance des collectivitĂ©s (mutualiser les services numĂ©riques...) que concernant les moyens Ă  mobiliser (choix budgĂ©taires...), le devoir de rĂ©silience (PCA/PRA...) et la nĂ©cessitĂ© de rĂ©viser les relations avec des tiers (sĂ©curitĂ© numĂ©rique des prestations...). 

    Un petit ouvrage de rĂ©fĂ©rence Ă  diffuser largement dans les mairies et les centres administratifs qui pourrait s'enrichir Ă  l'avenir d'un volet protection des donnĂ©es personnelles et d'un chapitre smart city. 

  • CybersĂ©curitĂ© : toutes les communes concernĂ©es !

  • Des serveurs Centreon cibles d'attaque Sandworm jusqu'en 2020

    AprĂšs une enquĂȘte fouillĂ©e, l'Anssi publie ses conclusions concernant une campagne d'attaques sur l'outil de supervision d'applications, rĂ©seaux et systĂšmes open source Centreon. L'agence y voit clairement la signature du mode opĂ©ratoire "Sandworm", celui de groupes de hackers dans la mouvance de la direction du renseignement de l'armĂ©e russe GRU. Les victimes seraient principalement des prestataires de services, notamment d'hĂ©bergement.

    L'Anssi vient de publier un rapport trĂšs dĂ©taillĂ© sur des attaques ciblant des serveurs Centreon selon le mode opĂ©ratoire Sandworm. ÉditĂ© par la sociĂ©tĂ© du mĂȘme nom, Centreon est un superviseur d'applications, rĂ©seaux et systĂšmes dont une version est disponible en open source sous licence GPL 2.0. La version la plus courante s'appuie sur CentOS. Sur les serveurs compromis de fin 2017 Ă  2020 identifiĂ©s par l'Anssi, les versions installĂ©es de Centreon n'Ă©taient pas Ă  jour et il existait deux portes dĂ©robĂ©es : le webshell P.A.S. et celle que Eset a baptisĂ©e Exaramel.

    Ironie de l'histoire, Centreon, l'éditeur, était auparavant connu sous le nom de Merethis. Et son logiciel de supervision open source s'appelait Oreon. En 2017 Oreon devient Centreon car trop proche dans sa dénomination d'un certain... Orion. Oui Orion, l'outil de SolarWinds à l'origine du Solorigate qui a touché il y a quelques semaines des grands noms de la sécurité informatique. Décidément le chasseur géant de la mythologie grecque attire les pirates informatiques.

    Le mode opĂ©ratoire Sandworm qui semble clairement ressortir du hack ZeroDay Centreon est la signature de groupes de hackers proches de la direction du renseignement de l'Ă©tat-major de l'armĂ©e russe, le GRU, mĂȘme si l'Anssi ne dĂ©signe directement ni le GRU, ni la Russie.

    Une vue de l'Explorer du webshell P.A.S., l'une des deux portes dérobées trouvées sur les serveurs compromis.

    On attribue au mode opératoire Sandworm et/ou au groupe TeleBots un assez beau tableau de chasse. Y figurent l'attaque du réseau électrique ukrainien en 2015-2016 et sans doute indirectement le ransomware NotPetya.

    Limiter l'exposition internet des outils de supervision

    Dans son rapport, l'Anssi incite à la mise à jour scrupuleuse d'outils de supervision comme Centreon (la version la plus récente trouvée sur un serveur compromis est la 2.5.2), mais aussi de limiter l'exposition internet de ce type d'outils et bien sûr de renforcer encore la sécurité des serveurs Linux.

    « Les vulnérabilités des applications sont souvent corrigées par les entreprises éditrices des solutions. Il est recommandé de mettre à jour les applications dÚs que les failles sont identifiées et que leurs correctifs sont publiés. Cette préconisation est impérative pour les systÚmes critiques comme les systÚmes de supervision.»

    « Les outils de supervision comme Centreon nĂ©cessitent d’ĂȘtre fortement connectĂ©s au systĂšme d’information supervisĂ© et sont donc des composants potentiellement ciblĂ©s par un attaquant souhaitant se latĂ©raliser. Il est recommandĂ© de ne pas exposer les interfaces web de ces outils sur Internet ou de restreindre l’accĂšs Ă  celles-ci en mettant en Ɠuvre des mĂ©canismes de sĂ©curitĂ© non applicatifs (certificat client TLS, authentification basic par le serveur web) »

    Le webshell P.A.S. utilisé lors d'attaques de sites WordPress

    D'aprĂšs l'Anssi, mĂȘme si Centreon compte parmi ses clients des grands groupes comme Total, EDF, Orange, BollorĂ©, Air France, Airbus ou le ministĂšre de la Justice, les victimes de l'attaque Sandworm et les serveurs compromis sont Ă  rechercher plutĂŽt du cĂŽtĂ© des prestataires de services informatiques et notamment d'hĂ©bergement web. L'Anssi indique que le webshell P.A.S. a Ă©tĂ© utilisĂ© lors d'attaques de sites WordPress.

    Dans son rapport technique (Cf. ci-dessous) , l'agence prĂ©sente notamment les mĂ©thodes de dĂ©tection des deux portes dĂ©robĂ©es sur des serveurs compromis et liste les fichiers Ă  supprimer. FĂ©lix AimĂ©, chercheur en cybersĂ©curitĂ© chez Kaspersky, est lui plus circonspect. « Il faut impĂ©rativement rechercher sur l’ensemble des serveurs possĂ©dant une instance de Centreon la prĂ©sence des indicateurs de compromission dĂ©voilĂ©s dans le rapport de l’Anssi (fichiers, services, crontab etc.). Il faut prendre conscience qu’en cas de compromission dĂ©couverte, la simple suppression des fichiers prĂ©sentĂ©s dans le rapport de l’Anssi ne constitue pas une mesure adĂ©quate. Il semble que l’attaquant s’est servi de Centreon pour prendre pied dans certains rĂ©seaux informatiques, puis s’est sans doute latĂ©ralisĂ© vers d’autres ressources et/ou rĂ©seaux. Il est dĂšs lors impĂ©ratif de mettre en Ɠuvre une rĂ©ponse Ă  incident prenant en compte cet aspect « avancĂ© » de l’attaque Â».

    Autant le rapport de l'Anssi est exceptionnellement dĂ©taillĂ© et prĂ©cis, autant l'Ă©diteur Centreon est lui peu disert, se limitant Ă  une courte dĂ©claration Ă  l'AFP. « Centreon a pris connaissance des informations publiĂ©es par l’Anssi ce soir[lundi], au moment de la publication du rapport, qui concernerait des faits initiĂ©s en 2017, voire en 2015[...] Nous mettons tout en Ɠuvre pour prendre la mesure exacte des informations techniques prĂ©sentes dans cette publication Â».


    Mise à jour 16/02/2021 17h00 : Centreon a publié une mise au point assez complÚte en fin de journée de mardi que nous vous proposons ici.

  • Des serveurs Centreon cibles d'attaque Sandworm jusqu'en 2020

  • Docker : l’Anssi livre ses bonnes pratiques

    Les conteneurs et leurs images peuvent contenir du code malveillant : ils sont ainsi exploitĂ©s par des cryptojackers. L’Anssi livre en ce dĂ©but octobre un guide des bonnes pratiques de sĂ©curitĂ© quant au dĂ©ploiement et Ă  l’exĂ©cution de conteneurs Docker. A l’occasion de la Black Hat 2017, deux chercheurs avaient dĂ©montrĂ© que les conteneurs Docker pouvaient servir Ă  dissimuler des malwares. Et depuis, de Graboid Ă  Doki, les exemples ne manquent pas quant Ă  l’utilisation des conteneurs et de leurs images Ă  des fins malveillantes. L’Anssi a pris le problĂšme Ă  bras le corps et vient de publier un guide de bonnes pratiques de sĂ©curitĂ© Ă  l’attention des dĂ©veloppeurs et des DSI relatives au dĂ©ploiement et Ă  l’exĂ©cution de conteneur Docker. Le document ne traite pas de Docker daemon et la gestion des images Docker, quand bien mĂȘme ces derniers sont souvent pointĂ©s du doigt [...]
  • Docker : l’Anssi livre ses bonnes pratiques

  • FIC 2021 : Guillaume Poupard optimiste

    On nous avait habitués, ou du moins c'est ce que nous percevions, à des discours alarmistes, au manque de ressources, à la fragmentation du secteur. Quelle ne fut pas notre surprise d'entendre ce matin un Guillaume Poupard presque guilleret, se réjouissant des progrÚs réalisés depuis un peu plus d'un an.

  • FIC 2021 : Guillaume Poupard se dit satisfait

    On nous avait habitué, ou du moins c'est ce que nous percevions, à des discours alarmistes, au manque de ressources, à la fragmentation du secteur. Quelle ne fut pas notre surprise d'entendre ce matin un Guillaume Poupard presque guilleret, se réjouissant des progrÚs réalisés depuis un peu plus d'un an.

  • L’Anssi dĂ©voile son Top 10 des failles de 2020

  • L’Anssi dĂ©voile son Top 10 des failles de 2020

    Le RSSI de l’Etat vient de publier par le biais du CERT-FR une liste de dix vulnĂ©rabilitĂ©s, particuliĂšrement critiques, dĂ©couvertes en 2020 ou 2019, et particuliĂšrement marquantes, parce que critiques, exploitĂ©es activement et, parfois, affectant des Ă©quipements nĂ©cessaires au travail Ă  distance.

    L’Anssi a sĂ©lectionnĂ© dix vulnĂ©rabilitĂ©s marquantes, surtout en terme de criticitĂ©, repĂ©rĂ©es l’an dernier, voire en 2019. Car « malgrĂ© les publications de plusieurs avis de sĂ©curitĂ© en 2019 concernant diffĂ©rents Ă©diteurs de solutions VPN, l’ANSSI a pu constater la prĂ©sence d’un grand nombre d’équipements vulnĂ©rables exposĂ©s directement sur internet Â». Dix CVE qui touchaient notamment les infrastructures et systĂšmes de connexion Ă  distance.

    A commencer par CVE-2019-11510, une vulnĂ©rabilitĂ© de certains Ă©quipements de Pulse Secure, dont sont VPN SSL Pulse Connect Secure. Cette faille, activement exploitĂ©e, permettait Ă  un attaquant de lire des des fichiers arbitraires Ă  distance via le protocole HTTPS en crĂ©ant une URI particuliĂšre. Avec pour rĂ©sultat le vol d’authentifiants [...]

  • OVH certifiĂ© SecNumCloud

    Le fournisseur de services d'infrastructure en ligne lillois a obtenu le visa de l'Anssi pour la sécurité de son Cloud.

    OVHcloud annonce l’obtention du Visa de sĂ©curitĂ© Anssi, pour la qualification SecNumCloud de sa solution Hosted Private Cloud. Le rĂ©fĂ©rentiel SecNumCloud et le processus de qualification associĂ© dĂ©finissent le schĂ©ma de confiance le plus exigeant pour les acteurs du cloud. L'Anssi recommande de dĂ©ployer les services Cloud chez des prestataires ayant ce visa.

    S'appuyant sur la pile de VMware, la solution certifiée est opérée dans deux nouveaux centres de données d'OVH à Roubaix et Strasbourg. OVHcloud a mis en place pour cette nouvelle solution des procédures de sécurité physique, organisationnelle et contractuelle renforcées. Les systÚmes dédiés sont isolés physiquement et logiquement des autres services proposés par OVHcloud avec un périmÚtre dédié et un niveau de support personnalisé. La confidentialité et la protection des données, avec un accÚs aux infrastructures réservé à un personnel OVHcloud restreint et exclusivement européen, sont assurées par le fait qu'elles ne sont en aucun cas transférables hors Union Européenne et ne sont soumises à aucune loi extraterritoriale non-européenne.

  • Pour l’ANSSI, Sopra-Steria a tenu en Ă©chec ses attaquants

  • Pour l’ANSSI, Sopra-Steria a tenu en Ă©chec ses attaquants

    Victime fin octobre d’un ransomware, une nouvelle souche de Ryuk, l’ESN s’est montrĂ©e aux dires de Guillaume Poupard, le patron de l'ANSSI, particuliĂšrement rĂ©siliente, avec pour rĂ©sultat l’échec de cette attaque. Une preuve de la maturitĂ© en la matiĂšre de Sopra-Steria, dont les activitĂ©s reviendront Ă  la normale dans les prochaines semaines. Depuis le 20 octobre, Sopra-Steria est la cible d’une cyberattaque. L’ESN confirmait une semaine plus tard que certains de ses systĂšmes avaient Ă©tĂ© infectĂ©s par une version encore inĂ©dite du ransomware Ryuk, signalant avoir dĂ©tectĂ© l’attaque quelques jours seulement aprĂšs son lancement et pris des mesures qui ont “permis de contenir la propagation du virus Ă  une partie limitĂ©e des installations du Groupe et de prĂ©server ses clients et ses partenaires”. Une rĂ©ponse efficace, selon Guillaume Poupard. L’entreprise "a su rĂ©agir vite et mettre en place une organisation de gestion de crise pour traiter l’incident" . Aux yeux du patron de l’ANSSI, citĂ© par l’AFP, « ce n’est pas une attaque rĂ©ussie, c’est au contraire une attaque qui a Ă©tĂ© dĂ©jouĂ©e par un acteur suffisamment mature qui a su trĂšs bien rĂ©agir » . Car l’ESN [...]