Nicolas Gouhier

Ransomware : Orange Business Services victime de son audace ?

Mi-juillet, l’opérateur français a été victime du rançongiciel Nefilim qui s’est attaqué à son offre « Le forfait informatique ». Une offre de poste de travail en mode service (DaaS), initialement lancée en 2008 puis rafraîchie en 2011.

Mi-juillet, le groupe de cyberdélinquants qui met à profit le rançongiciel Nefilim – aussi appelé parfois Nephilim – a ajouté à son blog une page dédiée à l’opérateur français. Sur celle-ci, il propose au téléchargement une archive compressée contenant, selon leurs allégations, des données dérobées à l’occasion de l’intrusion.

En fait, Orange n’a pas été affecté dans sa totalité, loin s’en faut : c’est Orange Business Services (OBS) qui a été touché, et même plus précisément Neocles, sa filiale virtualisation et Cloud Computing, rachetée à l’automne 2006.

C’est en s’appuyant sur Neocles qu’OBS a lancé, en 2008, la première version de son offre « Forfait informatique », une solution de poste de travail virtuel (DaaS) présentée alors comme une « prestation complète, packagée et évolutive ». Fin 2011, Orange modernisait cette offre pour proposer, de base, un poste sous Windows 7 avec le pack Office 2010, Exchange 2007, Lync pour la messagerie instantanée, SharePoint, ou encore Acrobat d’Adobe. Et d’exploiter les outils de RES Software – racheté depuis par Ivanti – pour offrir une certaine personnalisation de l’environnement utilisateur. En coulisses, la solution s’appuyait alors sur Windows Server 2008 R2 avec ses Remote Desktop Services, et XenApp de Citrix pour la mise à disposition des applications.

Fin 2011, OBS revendiquait 3800 utilisateurs pour 100 clients et visait les 10 000 utilisateurs pour la mi-2013. Mi-2016, à l’occasion de l’étape parisienne de SplunkLive!, Neocles Corporate renvendiquait 100 000 postes de travail gérés pour plus de 200 clients infogérés. Pour 2017, l’entreprise a déclaré un chiffre d’affaires de près de 86 M€, contre un peu plus de 56 M€ pour l’année précédente. Et cela à effectifs stables : 244 employés.

La présentation faite lors de SplunkLive! Paris en 2016 faisait notamment référence à Windows Server 2012 et à Citrix parmi les sources de logs analysés pour le reporting et le pilotage de l’infrastructure. De quoi laisser entrevoir une évolution du socle technique de l’offre au fil du temps. Pour autant, sollicité par la rédaction, OBS s’est refusé à indiquer si, et dans quelle mesure, ce socle technique a évolué au cours des années écoulées.

Mais même s’il y a eu des évolutions, celles-ci n’ont pas forcément concerné tous les clients du Forfait Informatique. C’est du moins ce que l’on peut déduire de la déclaration transmise à la rédaction par un porte-parole d’OBS suite à la révélation de l’incident Nefilim : « selon les premières analyses des experts sécurité, cette attaque n’aurait porté que sur des données hébergées sur une plateforme Neocles en cours de fermeture ».

Mi-juillet, Orange expliquait que l’attaque aurait « permis aux hackers d’accéder aux données d’une vingtaine de clients PRO/PME hébergés sur la plateforme ». Parmi eux, il faudrait notamment compter sur l’avionneur ATR. La liste des clients de Neocles n’est pas connue mais certains sous-domaines donnent des indices : Sogemac, Regis Location, Sagess, ou encore CCI Finance, France Mutuelle et GMV Conseil semblent avoir recours aux services de la filiale d’OBS.

Mais comme pour beaucoup d’autres victimes de ransomware, l’hygiène de sécurité pourrait bien ne pas avoir été exemplaire. Sur l’infrastructure exposée par Neocles sur Internet, on trouve ainsi deux serveurs VPN Fortinet pour lesquels une mise à jour semble survenue fin mai 2020. Mais selon les données de Shodan, aucune ne semble avoir été appliquée en 2019. Alors même que, à la fin de l’été dernier, le Cert-FR alertait sur des vulnérabilités présentes dans les serveurs de réseau privé virtuel de plusieurs équipementiers, dont Fortinet.

Neocles semble également avoir opéré deux systèmes Citrix restés, un temps, affectés par la tristement célèbre vulnérabilité CVE-2019-19781 : les correctifs appropriés semblent leur avoir été appliqués entre la fin janvier et le début février 2020.

La rédaction a, à nouveau, sollicité Orange Business Services pour avoir des éclaircissements sur le socle technique de l’offre de Neocles, ainsi que sur les mesures de sécurité en place au sein de celui-ci. Nous ne manquerons pas de mettre à jour cet article avec les éventuelles informations que l’opérateur nous fera parvenir.

Pour approfondir sur Sécurité du Cloud, SASE

Close