Ransomware : l’Afpa tient tête à DoppelPaymer

La revendication est tombée samedi 18 avril : sur leur site Web, les opérateurs du rançongiciel DoppelPaymer ajoutaient une page au sujet de l’Agence pour la formation professionnelle des adultes (Afpa). En guise de preuve de leur forfait, les mécréants avancent une vingtaine de fichiers compressés pour un total de plusieurs giga-octets de données.

Et surtout, il y a une longue, très longue liste, de plusieurs dizaines de milliers machines qui a trahi, à elle seule, la compromission complète de l’infrastructure Active Directory. Joint par la rédaction, Stéphane Desaintfuscien, DSI de l’Afpa, ne cherche d’ailleurs pas à le nier, précisant que la restauration de l’annuaire a été l’une des toutes premières tâches, dès le 7 mars, dans la nuit, avec l’aide de Microsoft. C’est le jour même où le ransomware a été déclenché.

Cette liste – plus de 56 000 machines – peut donner une forte impression de vétusté : on y trouve des postes de travail sous Windows XP, Windows 7, ou Windows 8.1, mais aussi des serveurs Windows Server 2003 et Windows Server 2008 R2. Là, Stéphane Desaintfuscien assure que la liste en question « n’est pas à jour » : on peut y trouver des « machines qui ne sont plus sur notre réseau ».

Et c’est bien l’impression qu’en donne l’examen. Le nom de certaines machines – qui ont fonctionné sous Windows XP – fait ainsi état d’une mise hors production en février 2012. Mais ce n’est pas tout. La liste fait ressortir plus de 24 500 postes de travail sous Windows 10. Toutefois, elle fait également état de plus de 35 500 machines sous Windows 7 – dont quelques milliers de machines virtuelles utilisées dans le cadre d’une infrastructure de poste de travail virtualisé (VDI) qui semble avoir été basée sur Hyper-V et App-V ainsi que feu Dell vWorkspace, selon ce que laisse entrevoir la nomenclature. La migration vers Windows 10 des postes de travail apparaît ainsi largement engagée, mais peut-être pas totalement finalisée.

De même, si la liste comprend près de 80 serveurs Windows Server 2003, et plus d’un millier d’hôtes Windows Server 2008 et 2012, on y trouve également plus de 1 300 serveurs Windows Server 2016, avec notamment une importante ferme Hyper-V. De quoi une fois de plus imaginer une profonde modernisation engagée.

La nomenclature utilisée laisse en outre entrevoir deux principales architectures d’annuaire distinctes, l’une historique assez à plat, et l’autre, plus récente – mais avec à la fois des postes de travail sous Windows 10 et encore certains sous Windows 7 – marquée par une segmentation plus forte.

D’ailleurs, l’Afpa fait état de trois postes de travail et d'une centaine de serveurs effectivement chiffrés sur un parc de 1 500 serveurs, de quoi laisser à penser qu’il reste des serveurs antérieurs à Windows Server 2016 en production. Mais Stéphane Desaintfuscien indique ne pas vouloir communiquer sur ces questions.

Le DSI indique que l’investigation n’est pas terminée et se refuse également à évoquer le cheminement des attaquants, tout en précisant : « nous voyons bien quelle faille ils ont utilisée ». Mais Stéphane Desaintfuscien explique qu’il s’agit encore de vérifier qu’ils n’ont pas d’autre « point d’ancrage potentiel ». Il assure toutefois qu’il n’y a pas de risque de propagation à des organisations partenaires extérieures.

L’Afpa rejoint donc ainsi Bretagne Télécom sur la liste des échecs des opérateurs de DoppelPaymer : si les cyberdélinquants sont parvenus à s’inviter sur le système d’information, voire même remonter assez haut dans son infrastructure, ils ont échoué à extorquer leur cible.