MMA : le bras de fer avec le ransomware se poursuit

Après une dizaine de jours d’arrêt, le site Web de MMA est à nouveau accessible. L’assureur avait mis à l’arrêt ses systèmes d’information suite à la détonation d’un rançongiciel survenue dans la nuit du 16 au 17 juillet. La rumeur a fait état de NetWalker, qui a récemment touché Rabot Dutilleul après s’être notamment attaqué à Bolloré Transport & Logistics. Mais différentes sources, c’est plutôt du côté de Revil/Sodinokibi qu’il convient de regarder, celui-là même qui s’est attaqué à Faro Technologies au mois de mai.

Selon les informations du collectif CGT Covéa, les équipes informatiques sont fortement mobilisées pour, notamment, rétablir au plus vite les applications métiers, afin que les clients de l’assureur puissent profiter de ses services. Et cela ne doit pas être une mince affaire.

Les éléments d’infrastructure exposés sur Internet laissent entrevoir la mutualisation de quelques ressources entre entités du groupe Covéa – MMA, Maaf, GMF, ou encore Fidélia Assistance. Mais pas tout, loin de là. D’ailleurs, Maaf et GMF n’ont été que bien moins affectés – « les outils fonctionnent malgré de grosses lenteurs », indiquait la CGT le 23 juillet – et Fidélia « n’a subi que quelques lenteurs et a pu, de ce fait, assurer la continuité de service des appels MMA ».

Mais le rétablissement du site Web de MMA n’est pas le signe de la fin des opérations de remise en conditions opérationnelles. La CGT indique ainsi que « cette fin de semaine, l’ensemble des salariés (hors congés) doit rapporter l’ensemble de son matériel pour analyse. A compter de lundi [3 août], nous serons à nouveau sur site et travaillerons en fonction des applicatifs disponibles ». Sur la page Facebook du syndicat, certains commentaires font état en outre état du besoin de réinitialiser leur mot de passe : de quoi trahir des travaux de sécurisation de l’annuaire.

La CGT précise également que « le télétravail n’est plus possible jusqu’à nouvel ordre, sauf pour les personnes vulnérables qui disposent d’un certificat médical d’isolement ». Et nos confrères d’Actu.fr de s’interroger : « est-ce par [le] biais [du télétravail] qu’une faille a été exploitée par les pirates » ? Un question qui résonne comme un écho aux propos du président du Conseil départemental d’Eure-et-Loir, Claude Térouinard, qui indiquait récemment, dans les colonnes de L’Echo Républicain, que le maliciel ayant frappé le département pourrait être « entré dans le système informatique par le réseau de télétravail ». Là, nos recherches nous avaient notamment amenés à identifier un serveur VPN Pulse Secure qui serait resté affecté par la vulnérabilité CVE-2019-11510 au moins jusqu’à la fin du mois de novembre dernier. Un correctif était disponible depuis plusieurs mois et les autorités avaient appelé à son application urgente dans le courant de l’été 2019.

En ce qui concerne MMA et le travail à distance, il y a, pour l’instant, une explication très simple :  les serveurs VPN SSL Cisco ASA de l’assureur sont encore inaccessibles, à l'heure où sont écrites ces lignes, – ceux de Maaf et de GMF sont, à l’inverse, bien en ligne (en espérant qu’ils soient à jour de correctifs). Ces serveurs VPN ne sont peut-être pas étrangers à l’attaque.

Mais les assaillants pourraient également être passés par une passerelle Citrix Netscaler affectée par la tristement célèbre vulnérabilité CVE-2019-19781. Deux de ces systèmes étaient récemment présents sur l’infrastructure de MMA. Pour les deux, les correctifs nécessaires semblent avoir été appliqués à la fin du mois de janvier, selon les données de Shodan.