Après une cyberattaque, branle-bas de combat chez Stormshield et ses clients

[Mise à jour le 4 février 2020 @ 17h44] Le CEO de Stormshield, Pierre-Yves Hentzen, a accepté de répondre aux questions de la rédaction et indique notamment que les techniques d’intrusion utilisées laissent « à penser que l’attaque était ciblée et avait été minutieusement préparée ». C’est à lire après le clic.

[Article original] Stormshield vient de reconnaître avoir « détecté un incident de sécurité qui a entraîné un accès non autorisé à un portail technique » destiné à ses clients et partenaires, notamment, « pour la gestion des tickets de support » concernant ses produits.

Sur son site Web, l’équipementier français explique que « des données personnelles et des échanges techniques associés à certains comptes » ont pu être consultés par des tiers non autorisés : « nous avons immédiatement averti les propriétaires des comptes concernés et avons notifié les autorités compétentes ». Stormshield ajoute que « par précaution, les mots de passe de tous les comptes ont été réinitialisés » et que « des mesures complémentaires ont été appliquées au portail pour renforcer sa sécurité », sans préciser lesquelles.

En outre, l’équipementier indique que « tous les tickets de support et les échanges de données liés aux comptes concernés ont été analysés et les résultats ont été communiqués aux clients ». On imagine sans peine que ces éléments sont susceptibles d’avoir fourni aux tiers impliqués dans l’incident des informations, au moins parcellaires, sur l’architecture de sécurité des clients concernés.

Plus loin, Stormshield fait état de « la fuite de certains éléments du code source des produits SNS (Stormshield Network Security) » et précise que les analyses « approfondies réalisées avec le soutien des autorités compétentes n’ont pas identifié de trace de modification illégitime de ces sources, ni de compromission de produits Stormshield en fonctionnement à ce jour ».

« Aucun élément ne permet de conclure que le code source du produit détenu par la société a été altéré par l’attaquant. »

Ces produits permettant la mise en place de réseaux privés virtuels (VPN) sont particulièrement sensibles : certaines versions logicielles sont en effet qualifiées au niveau « diffusion restreinte » par l’Agence nationale pour la sécurité des systèmes d’information (Anssi).

De son côté, l’Anssi confirme les dires de Stormshield en indiquant que « aucun élément ne permet de conclure que le code source du produit détenu par la société a été altéré par l’attaquant », tant pour SNS que pour le pare-feu industriel SNS.

Prudente, l’Agence indique avoir « par mesure de précaution et pour la durée des investigations » placé les qualifications et agréments des produits concernés « sous observation ». Elle précise en outre qu’il est « essentiel que chaque client [dont les données ont pu avoir été consultées par le tiers impliqué] mène une analyse d’impact en conséquence ».