L’Agence nationale de la sécurité des systèmes d’information (l’Anssi) rapporte que des pirates se sont introduits dans les réseaux d’institutions et grandes entreprises françaises. De type Sandworm, ces intrusions ont eu lieu via le logiciel de supervision Centreon.
« Cette campagne d’attaque du mode opératoire Sandworm, ciblant des serveurs Centreon, a principalement touché des prestataires de services informatiques, notamment d’hébergement web », détaille l’Anssi sans citer de noms. Elle constate, sur les systèmes compromis, « l’existence d’une porte dérobée de type webshell ». Elle précise que « les premières compromissions identifiées datent de fin 2017 et se sont poursuivies jusqu’en 2020. »
Centreon revendique plus de 600 clients dans le monde, parmi lesquels Airbus, Air France, EDF, Orange, RATP, Thales ou encore Total. L’éditeur de logiciels déclare avoir « pris connaissance des informations publiées par l’ANSSI, au moment de la publication du rapport, qui concernerait des faits commencés en 2017, voire en 2015 » et mettre « tout en œuvre pour prendre la mesure exacte des informations techniques présentes dans cette publication ».
Rappelons l’origine du terme informatique « sandworm » qui n’est autre que « ver de sable » en français : un logiciel malveillant qui s’infiltre à l’intérieur d’un ordinateur et accède aux informations en exploitant une faille informatique. Aujourd’hui, le mot Sandworm est associé au groupe de cybercriminels russes à l’origine, notamment, d’importantes coupures du réseau électrique en Ukraine en 2016. En juin 2017, une autre attaque de Sandworm contre l’Ukraine, impliquant le malware NotPetya, a eu des répercussions dans plusieurs autres pays occidentaux.
La révélation de cette nouvelle attaque fait écho à l’affaire SolarWinds aux Etats-Unis, un cybercrime derrière lequel les empreintes numériques de plus de 1.000 ingénieurs viennent d’être identifiées.