2 min de lecture Connecté

Ce que l'on sait sur la cyberattaque qui a frappé la France entre 2017 et 2020

Plusieurs entités françaises ont été infiltrées entre 2017 et 2020 par un logiciel espion. Le mode opératoire ressemble à celui du prolifique groupe de cyberattaquants russophone Sandworm. L'ampleur des fuites reste à mesurer.

L'Agence nationale de la sécurité des systèmes d'information
L'Agence nationale de la sécurité des systèmes d'information Crédit : AFP
Benjamin Hue
Benjamin Hue
et Sophie Joussellin

L'Agence nationale de la sécurité des systèmes d'information (Anssi) a révélé lundi 15 février avoir découvert une intrusion informatique qui a touché plusieurs entreprises et institutions françaises entre 2017 et 2020. 

Les pirates se sont infiltrés via le logiciel français Centreon, un outil qui permet de surveiller les réseaux dans les entreprises. Les analystes de l'Anssi ont découvert deux portes dérobées dans les serveurs de Centreon affectés.

Ces failles ont servi de porte d'entrée aux pirates qui ont pu accéder aux systèmes informatiques de nombreuses entreprises comme Airbus, Orange, Air France, EDF, Bolloré, Total ou Orange mais également du Ministère de la justice

Une logique de cyberespionnage

Il est encore trop tôt pour mesurer l'ampleur des dégâts. L'affaire rappelle la cyberattaque attribuée à la Russie qui a visé les États-Unis l'an dernier par l'intermédiaire de la compromission du logiciel de supervision SolarWinds, utilisé par des dizaines de milliers d'entreprises à travers le monde et par plusieurs départements du gouvernement américain.

À lire aussi
Connecté
Des pirates ont volé le code source du jeu "FIFA 21"

Il ne s'agit pas d'une attaque pour désorganiser ou mettre à plat un système en échange d'une rançon. L'incident relève davantage du cyberespionnage. L'objectif des pirates est surtout de ne pas se faire remarquer. Ils se sont infiltrés discrètement et sont restés longtemps tapis dans les systèmes informatiques compromis afin de scruter les données disponibles.

Un groupe proche de Moscou soupçonné

Le mode opératoire fait écho aux à celui du groupe de pirates russophones Sandworm, connu pour être lié aux services de renseignements militaires de Moscou. L'Anssi n'accuse pas explicitement la Russie - l'attribution étant une décision politique - mais note dans son rapport que l'attaque présente de nombreuses similarités avec des campagnes antérieures du mode opératoire Sandworm. 

Ce groupe de cyberattaquants compte de nombreux faits d'armes à son actif. On lui doit les pannes du réseau électrique ukrainien en 2015 et 2016, la diffusion du ransomware NotPetya en 2017, les attaques de la cérémonie d'ouverture des Jeux olympiques d'hiver de PyeongChang en 2018 et la défiguration massive de sites web géorgiens en 2019.

Le ministère de la Justice américain a également fait le lien entre ce groupe et des attaques ayant eu lieu dans le pays. Il serait notamment lié à des campagnes de phishing et à des fuites connexes visant le parti politique "La République en Marche" du président Macron, une affaire également connue sous le nom de MacronLeaks.

La rédaction vous recommande
Lire la suite
Connecté Piratage Russie
Commentaires

Afin d'assurer la sécurité et la qualité de ce site, nous vous demandons de vous identifier pour laisser vos commentaires. Cette inscription sera valable sur le site RTL.fr.

Connectez-vous Inscrivez-vous

500 caractères restants

fermer
Signaler un abus
Signaler le commentaire suivant comme abusif
500 caractères restants