TechTarget

Rawpixel.com - stock.adobe.com

Actualites

Bouygues Construction : Maze, le révélateur d’un SI aux fondations poreuses ?

À moitié muré dans le silence, le groupe peine à cacher les difficultés auxquelles le ransomware le confronte. Mais également ce qu’elles révèlent de sa posture de sécurité, et de celle de sa filiale Axione.

Valéry Rieß-Marchive
par
Publié le: 07 févr. 2020

Bouygues Construction se démène contre le ransomware Maze depuis la fin du mois de janvier. D’un communiqué de presse à l’autre, le groupe apparaît minimiser la situation. Dans un premier, il expliquait que « par mesure de précaution, les systèmes d’information ont été coupés afin de prévenir toute propagation », et assurait que « les installations sont progressivement remises en service après avoir été testées ». Dans un second, publié le 5 février, Bouygues Construction se veut encore plus rassurant : « aucun chantier n’a été arrêté et l’ensemble des données qui sortent de l’entreprise vers l’extérieur fait l’objet d’une procédure de sécurisation renforcée ».
Mieux encore, selon le groupe, « les fonctionnalités [du système d’information] » sont « progressivement » remises en service.

Mais dans la pratique, la messagerie électronique apparaissait encore coupée le 6 février. Chez Axione, le service de presse jonglait alors entre boîtes personnelles, et boîtes de secours temporaires un peu plus aux couleurs de la marque. Et cela ne semble pas dû au hasard.

Une infrastructure de messagerie commune ?

Axione, spécialiste de l’aménagement numérique auprès des collectivités territoriales, est une filiale de Bouygues Energies & Services et une prise de participation de Vauban Infrastructure Partners (ancienne activité Infrastructures Généralistes de Mirova), une filiale de Natixis. Mirova est monté à hauteur de 49 % dans le capital d’Axione début 2019, via ses fonds d'infrastructures généralistes, en laissant 51 % à Bouygues Energies & Services, appelé ETDE jusqu’au début 2013. En 2014, Bouygues Energies & Services a fait l’acquisition du canadien Plan Group.

En fait, l’examen des zones DNS des noms de domaines d’Axione, de Bouygues Energies & Services et de Bouygues Construction font ressortir un point commun : un sous-domaine du dernier, pour le serveur de messagerie. Autrement dit, les trois organisations apparaissent partager au moins en partie une infrastructure de messagerie – protégée par Cisco Ironport. 

La mutualisation semble aller plus loin. L’envoi d’e-mails à des collaborateurs d’Axione sur le domaine de Bouygues Construction ne se solde pas par une erreur 550 indiquant « utilisateur inconnu » ou « adresse rejetée » – contrairement à ce qui se passe pour des adresses inconnues, comme nous avons pu le vérifier avec deux exemples.

À titre de comparaison, la messagerie électronique de Bouygues Telecom ne renvoie pas à cette infrastructure, mais aux services de Microsoft. Et celle de Bouygues Immobilier, aux services de protection de la messagerie électronique de Proofpoint. Mais le serveur de messagerie de Plan Group est hébergé sur la même adresse IP que… le serveur de messagerie secondaire de Bouygues Construction. 

Voire plus encore

Mais l’intrication des systèmes d’information entre Bouygues Construction, Bouygues Energies & Services, et Axione ne s’arrête vraisemblablement pas là. Sur un site Web mentionné par l’Agence nationale de la sécurité des systèmes d’information (Anssi), dans son récent rapport sur le groupe TA2101 aux manettes Maze, on trouve une longue liste de systèmes revendiqués par les cyberdélinquants comme chiffrés par leurs soins. Au total, il y a là 56 adresses IP distinctes, dont rien moins que 23 renvoient à l’infrastructure d’Axione.

Ce que les moteurs de recherche spécialisés ont à raconter sur ces adresses IP attribuées à Axione est à tout le moins peu rassurant. Ainsi, au moins 18 d’entre elles ont exposé directement sur Internet les interfaces Web d’administration de pare-feu Juniper SRX300. Pour plusieurs d’entre elles, les données du moteur de recherche Onyphe sont formelles : l’exposition remonte au moins à juillet 2019. Le problème semble avoir été identifié et, depuis peu, ces interfaces ne sont plus accessibles à n’importe qui.

Toutefois, nous avons sollicité Axione à ce sujet, dont le service de presse nous a renvoyé… à celui de Bouygues Construction. Lequel a indiqué prendre en compte nos questions, mais ne pas avoir de réponse à leur apporter à l’heure où ces lignes sont publiées.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close