Cyberattaque : Sopra Steria avance un retour à la normale dans « quelques semaines »

Très tôt ce lundi 26 octobre au matin, Sopra Steria a confirmé publiquement avoir été attaquée par le ransomware Ryuk, comme nous le révélions dès mercredi dernier. Dans son communiqué, l’ESN parle de « nouvelle version […] jusque-là inconnue des éditeurs d’antivirus et des agences de sécurité ». Une affirmation qui mérite des réserves tant les cyberdélinquants ont l’habitude de simplement remballer leur code afin de contourner les systèmes de protection à base de signatures, sans pour autant avoir à développer de véritable nouvelle version de leurs maliciels.

Plus loin, l’ESN affirme que ses équipes d’investigation « ont immédiatement fourni toutes les informations nécessaires aux autorités compétentes. La signature de cette nouvelle version du virus a donc pu être rapidement communiquée à tous les éditeurs d’antivirus pour mise à jour de leurs antivirus ». Selon nos informations, Sopra Steria a effectivement commencé dès le 21 octobre à communiquer de premiers marqueurs techniques. Mais l’investigation ne semble pas avoir été terminée avant le vendredi 24. Selon nos sources, de nouveaux indicateurs ont d’ailleurs été partagés par l’ESN dans le courant du week-end.

Dans son communiqué de presse, Sopra Steria indique en outre que « la cyberattaque avait été lancée quelques jours seulement avant sa détection », reprenant plus ou moins ce qu’indiquaient ses équipes précédemment, lorsqu’elles faisaient état de « premières attaques malicieuses apparues il y a quelques jours ». Mais selon nos sources, certains marqueurs techniques partagés par l’ESN étaient déjà connus de la communauté du renseignement sur les menaces.

De fait, les infrastructures d’opérateurs de maliciels tels qu’Emotet ou Trickbot – couramment observés dans les attaques de rançongiciel impliquant Ryuk – font l’objet d’une surveillance soutenue, et les marqueurs correspondants sont très régulièrement partagés dès les premières observations. Et ceux ne relevant que du soupçon le sont avant toute exploitation effective. Kyle Ehmke, de ThreatConnect, partage ainsi pour sa part régulièrement des indicateurs qu’il soupçonne, avec un niveau de confiance élevé, d’être liés à Ryuk.

Plus loin, Sopra Steria indique que, « à ce jour, et après des recherches approfondies, [l’ESN] n’a pas constaté de fuite de données ou de dommages causés aux systèmes d’information de ses clients. Après analyse de l’attaque et élaboration du plan de remédiation, le redémarrage progressif et sécurisé du système d’information et des opérations du Groupe est engagé à compter de ce jour ».

Dès lors, selon le communiqué de presse, « le retour à une situation normale dans l’ensemble du Groupe prendra quelques semaines ». Le choix sémantique laisse ici imaginer un retour relativement rapide à des conditions opérationnelles. Mais selon nos sources, il ne s’agit pas de se laisser pour autant aller à compter sur un retour éclair à la normale en seulement deux semaines.

En attendant, l’incident semble avoir soufflé un léger vent de panique, au moins chez quelques clients de l’ESN. Selon nos sources, certains ont indiqué, en interne, ne communiquer avec leurs interlocuteurs chez Sopra Steria que par téléphone, et surtout pas par e-mail. D’autres, selon nos observations, sont allés jusqu’à téléverser sur VirusTotal des e-mails reçus de tels interlocuteurs afin d’essayer de s’assurer de l’innocuité de leurs pièces jointes. À leur décharge, on relèvera que Kevin Beaumont, chez Microsoft, a observé des campagnes de phishing sur le thème de Sopra Steria.