Le 15 février, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) a publié un rapport sur une campagne d'attaque visant une version obsolète et non supportée du logiciel de supervision open source gratuit Centreon (version 2.5.2, sortie en novembre 2014). Cette campagne a affecté une quinzaine d'entreprises françaises non identifiées entre 2017 et 2020. Aucune de ces entreprises n'était cliente de Centreon. Cette FAQ a pour but de répondre à vos questions sur le rapport de l'ANSSI. Si vous avez besoin d'informations supplémentaires, veuillez contacter notre équipe d'experts.

Qu'est-ce que l'ANSSI et quel était le sujet du rapport ?

L'ANSSI est une autorité nationale qui rend compte au Secrétaire général de la défense et de la sécurité nationale (SGDSN) en matière de défense et de sécurité nationale. Le rapport concernait une campagne d'attaque qui a ciblé, entre 2017 et 2020, une quinzaine d'entreprises françaises non identifiées, principalement des entreprises informatiques et des hébergeurs web qui utilisaient une version obsolète et non supportée du logiciel de supervision open source Centreon.

S'agissait-il d'une attaque de type supply chain ?

Non, ce n'était pas une attaque de type supply chain. Dans une déclaration faisant suite à la publication du rapport, l'ANSSI a confirmé que Centreon n'avait pas distribué ni contribué à propager de code malicieux. La campagne concernée par le rapport n'était pas une attaque de type supply chain et aucun parallèle n'a pu être établi avec d'autres attaques de ce type. Par ailleurs, l’ANSSI a précisé que la campagne était terminée et qu’aucune activité malicieuse n’était à observer à l’heure actuelle. 

Quelles organisations ont été touchées ?

Le rapport de l'ANSSI n'a pas révélé quelles organisations avaient été touchées par la campagne, précisant uniquement qu'il s'agissait principalement d'entreprises informatiques, et en particulier des hébergeurs de sites web. Ces organisations n'étaient pas des clients de Centreon et nous n'avons pas pu les identifier. Plus de 250 000 professionnels de l’IT utilisent le logiciel open source gratuit Centreon dans le monde entier. Si vous utilisez actuellement ou envisagez d'utiliser le logiciel open source gratuit Centreon, veillez à utiliser une version qui est actuellement supportée. Vous pouvez télécharger la dernière version ici.

Comment savoir si mon organisation a pu être touchée par cette campagne ?

Utilisez ce guide d'instructions pour vérifier que la version du logiciel open source Centreon que votre organisation utilise n’est pas vulnérable et rechercher d'éventuels fichiers illégitimes. La campagne a ciblé la version 2.5.2 du logiciel open source, une version obsolète stockée sur des serveurs exposés sur Internet. Si vous constatez que vous n'utilisez pas la dernière version open source de Centreon, mettez à jour votre logiciel, en veillant à toujours utiliser la version la plus récente.

Quel impact a eu cette campagne d'attaque ?

Étant donné qu'aucun client de Centreon n'a été touché, et que la campagne concerne des utilisateurs anonymes d'une version open source gratuite obsolète et non supportée, il est difficile d'évaluer l'impact de la campagne sur ces utilisateurs. Centreon a publié un guide pour aider les utilisateurs du logiciel open source à rechercher l'existence d'éventuels fichiers illégitimes.

Des clients de Centreon ont-ils été touchés ?

Aucun client de Centreon n'a été touché par la campagne faisant l’objet du rapport de l'ANSSI. De plus, l'ANSSI a confirmé qu'aucune activité malicieuse n’était à observer à l’heure actuelle.

Nous utilisons Centreon ou nous envisageons d'utiliser Centreon, que conseillez-vous ? 

Si vous utilisez l'une des éditions commerciales de Centreon ou une version récente du logiciel open source Centreon, vous n'êtes pas concerné par ce problème. Si vous utilisez une version obsolète du logiciel, reportez-vous à ce guide pour vérifier que vous n'êtes pas exposé à des vulnérabilités potentielles, et effectuez une mise à jour vers la dernière version du logiciel. Si vous envisagez d'utiliser un produit logiciel Centreon, contactez notre équipe d'experts pour plus d'informations et de conseils.  

Que pouvons-nous faire pour nous protéger contre ces failles de sécurité ?

Suivez les recommandations de l’ANSSI et utilisez des versions logicielles mises à jour et supportées, notamment dans le cadre d’environnements de production. Nous vous recommandons de suivre le guide de l'ANSSI «  Recommandations de configuration d'un système GNU/Linux ». Les sections 4 et 5 de ce guide fournissent également des recommandations importantes sur l'exploitation d'une plateforme Centreon sécurisée.

Cette attaque est-elle comparable à la récente attaque de SolarWinds ?

Fin 2020, il a été rapporté que des hackers avaient modifié l'application de supervision informatique SolarWinds afin de s’introduire sur un certain nombre de réseaux, dont une demi-douzaine d'agences fédérales américaines. Les hackers ont compromis l'infrastructure de SolarWinds et utilisé cet accès pour créer un cheval de Troie et distribuer des mises à jour aux utilisateurs d’Orion, le logiciel de supervision de l’entreprise. Bien que l'ANSSI ait signalé une campagne impliquant des serveurs Centreon, la nature et les résultats de l'attaque étaient complètement différents. Les serveurs qui ont été attaqués hébergeaient une version obsolète et non supportée du logiciel open source Centreon et étaient exposés sur Internet, une situation incompatible avec des pratiques informatiques sûres. Le logiciel Centreon lui-même n'a pas été compromis, et n'a pas distribué ni contribué à propager un code malicieux. L’ANSSI a confirmé que la campagne impliquant Centreon n’était pas une attaque de type supply chain et aucun parallèle avec d’autres attaques de ce type ne peut être fait dans ce cas.