Stormshield : les précisions du CEO Pierre-Yves Hentzen sur la cyberattaque

Stormshield vient de reconnaître avoir « détecté un incident de sécurité qui a entraîné un accès non autorisé à un portail technique » destiné à ses clients et partenaires, notamment, « pour la gestion des tickets de support » concernant ses produits. Des accès à des éléments de code source ont également été identifiés.

Joint par la rédaction dans la journée, Pierre-Yves Hentzen, CEO de Stormshield, a accepté de nous apporter des précisions, moyennant quelques réserves : « l’incident fait l’objet d’une enquête judiciaire et des investigations sont toujours en cours. Pour cette raison, nous ne pouvons communiquer un certain nombre d’informations liées à l’attaque ».

LeMagIT : quand avez-vous découvert l’attaque et à quand remontent les premiers accès non autorisés ?

Pierre-Yves Hentzen : l’incident a été détecté en décembre 2020 sur notre portail de support technique et a révélé que l’attaque s’est déroulée sur une période antérieure. Nous avons alors immédiatement averti les autorités compétentes et les clients concernés.

Suite à cet incident, nous avons continué les analyses qui ont amené à la découverte de la fuite d’éléments du code source des produits SNS [Stormshield Network Security]. Les deux incidents sont liés à la même attaque.

LeMagIT : Avez-vous identifié un vecteur d’intrusion précis, et si oui lequel ?

Pierre-Yves Hentzen : Nous avons identifié plusieurs techniques avancées utilisées pour l’intrusion, ce qui laisse penser que l’attaque était ciblée et avait été minutieusement préparée.

Nous précisons qu’aucune faiblesse ou défaillance des solutions de sécurité Stormshield n’a été identifiée dans le cadre des investigations, et que nos activités n’ont aucunement été impactées.

LeMagIT : Combien de clients sont concernés ?

Pierre-Yves Hentzen : Seuls 2 % des comptes ont été concernés par un accès illégitime aux informations sur le portail technique, soit environ 200 comptes sur plus de 10 000.

LeMagIT : Quelles mesures supplémentaires avez-vous prises pour renforcer la sécurité du portail ?

Pierre-Yves Hentzen : Ce portail, comme l’ensemble de notre système d’information, a été placé sous monitoring renforcé. Nous avons également étendu les mécanismes de détection et d’authentification sur notre système d’information.

LeMagIT : L’enquête est-elle finie, ou sinon, combien de temps estimez-vous qu’elle devra encore durer ?

Pierre-Yves Hentzen : L’enquête est toujours en cours à ce jour, autant sur le plan technique que judiciaire. Nous ne sommes pas en mesure d’indiquer son terme, notamment parce que certains volets sont diligentés par les autorités compétentes.

Nous précisons que nous avons inscrit depuis toujours le développement de ces produits SNS dans une démarche de code ouvert et partagé au sein des communautés open-source, notamment FreeBSD.

« Par mesure préventive, nous avons remplacé le certificat qui permet de signer nos mises à jour et nos versions. »

En lien avec cette philosophie, nous pensons que la sécurité d’un produit ne doit pas dépendre d’un code tenu secret et non public, mais sur une conception robuste et transparente. Aussi, la sévérité liée à la confidentialité et la consultation du code source est donc à relativiser au regard de cette philosophie.

En outre, après plusieurs semaines d’investigations, nous n’avons pas constaté de trace de modification du code et, par mesure préventive, nous avons remplacé le certificat qui permet de signer nos mises à jour et nos versions.