Cyberattaque Winnti : Bayer n’était bien que l’arbre cachant la forêt

Cela s’est déroulé dans le courant de l’été 2014 : les équipes d’Henkel découvraient qu’une attaque visait leurs systèmes d’informations. Selon un porte-parole du groupe, cité par nos confrères de BR et NDR, outre-Rhin, seule « une très petite portion » des SI du groupe, dans le monde entier, a été affectée. Mais rien n’indiquerait qu’il y ait eu exfiltration de données. C’est le maliciel Winnti qui était à la manœuvre, et le cas n’est pas isolé.

Début avril, nos confrères d’ARD révélaient ainsi que Bayer avait été visé. La présence de Winnti dans son SI avait été découverte début 2018. Mais le groupe s’est dit incapable de déterminer quand la compromission a commencé. Et il aura fallu attendre la fin de ce mois de mars pour que le nettoyage soit terminé. Là encore, Bayer indiquait au printemps ne pas disposer d’éléments pouvant suggérer que des données avaient été volées. Mais ce n’était, une fois de plus, pas une première. En 2016, Winnti avait été trouvé dans l’environnement IT de ThyssenKrupp. Mais il y a plus.

Toujours armés d’un script de détection de Winnti développé par le Cert de ThyssenKrupp, aidés d’experts en sécurité informatique, nos confrères sont remontés sur la piste d’autres victimes : Covestro, une spin-off de Bayer, les Japonais Shin-Etsu Chemical et Sumitomo Electric, ou encore Roche, BASF, Siemens, et le Français Bostik. BASF indique qu’une intrusion rapidement contenue a été identifiée en juillet 2015. Pour Siemens, l’incident est survenu en juin 2016. Teamviewer a également été visé à cette période, comme l’a précédemment rapporté le Spiegel.  

La liste des cibles – et des victimes potentielles des opérateurs Winnti – est plus longue. Pour un expert interrogé par nos confrères, c’est bien simple : « toute entreprise [cotée au] DAX qui n’a pas été attaquée par Winnti a dû faire mal certaines choses ». Ou peut-être tout simplement ne pas savoir qu’elle a été touchée. L’exemple de Bostik mériterait peut-être d’alerter les entreprises à l’ouest du Rhin, notamment dans le secteur de la chimie, ou encore de l’industrie pharmaceutique. Sollicités par la rédaction, nos confrères ont indiqué ne pas s’être penchés sur les plages d’adresses IP connues pour être attribuées à des entreprises du CAC40.

Car le maliciel Winnti est loin d’être un inconnu. Kasperky le suit depuis 2011 et évoquait déjà, en 2013, des liens avec la Chine. Début 2017, Microsoft évoquait une utilisation par deux groupes, Barium et Lead. Mais il apparaît en fait difficile d’établir un lien clair et précis entre Winnti et un groupe malveillant en particulier. L’analyse de Microsoft l’illustre bien : Barium viserait notamment le monde du jeu vidéo et Lead, celui de la chimie et de l’industrie pharmaceutique, notamment. Mais voilà, pour certains, Winnti aurait commencé par s’intéresser à la cible de Barium avant de s’en détourner pour se concentrer sur celles de Lead. D’autres noms sont également évoqués, comme Axiom, Mirage, ou encore Wicked Spider.

Ces groupes renverraient toutefois à des acteurs chinois et des liens ne semblent pas à exclure, comme dans une sorte de vaste nébuleuse. Et l’on relèvera au passage que Kaspersky estime que Barium pourrait être à l’origine de l’attaque ayant conduit à la compromission d’ordinateurs portables Asus. Plusieurs experts abondent dans ce sens.