L’agence française de cybersécurité ANSSI a déclaré lundi que “plusieurs entités françaises” avaient été violées et avait lié les attaques à un groupe de hackers russes supposé être à l’origine de certaines des cyberattaques les plus dévastatrices de ces dernières années.
L’agence a déclaré avoir identifié “une campagne d’intrusion” dans laquelle des pirates, liés à l’agence de renseignement militaire russe GRU, ont compromis la société française de logiciels Centreon afin d’installer deux logiciels malveillants dans les réseaux de ses clients. «L’attaque de la chaîne d’approvisionnement» est similaire au compromis récemment découvert du logiciel d’entreprise américain SolarWinds qui a violé plusieurs agences gouvernementales américaines et bien d’autres.
La campagne d’intrusion a débuté fin 2017 et a duré jusqu’en 2020, a déclaré l’ANSSI, ajoutant qu’elle “affectait principalement les fournisseurs de technologies de l’information, en particulier les fournisseurs d’hébergement Web”.
Centreon a indiqué dans un communiqué avoir “pris note de l’information”, ajoutant qu’il “n’est pas prouvé à ce stade que la vulnérabilité identifiée concerne une version commerciale fournie par Centreon sur la période en question”.
La société cite parmi ses clients Airbus, Air France, Thales, ArcelorMittal, Électricité de France (EDF) et la société de télécommunications Orange, ainsi que le ministère de la Justice. On ne sait pas combien ou quelles organisations ont été violées via le piratage logiciel.
L’ANSSI a déclaré que la campagne “présente plusieurs similitudes avec les campagnes précédentes attribuées à l’ensemble d’intrusions nommé Sandworm”, qui “est connu pour mener des campagnes d’intrusion conséquentes avant de se concentrer sur des cibles spécifiques qui correspondent à ses intérêts stratégiques au sein du pool des victimes”.
Le groupe de hackers Sandworm a été lié au GRU par les autorités et les experts en cybersécurité. On pense que le groupe est à l’origine de certaines des cyberattaques les plus dommageables de l’histoire récente, notamment l’épidémie du ransomware NotPetya en 2017 et les attaques contre les Jeux olympiques d’hiver en Corée du Sud.
Des diplomates européens ont imposé des sanctions à plusieurs officiers de l’unité de renseignement russe liés à Sandworm en relation avec les cyberattaques. Les autorités américaines ont également inculpé des pirates informatiques appartenant au même groupe et ont déclaré que le groupe était soupçonné d’être à l’origine de la cyberattaque de 2017 contre le parti La République en marche, alors candidat à la présidence, Emmanuel Macron.
La mention publique de Sandworm par les autorités françaises est rare, le pays ayant traditionnellement hésité à attribuer des cyberattaques.
