Après la cyberattaque, le télétravail sans VDI chez NewOrch-Orchestra

Les 26 novembre, nos confrères du Midi Libre révélaient que NewOrch, propriétaire du réseau de boutiques Orchestra-Prémaman, était confronté, depuis 48h, à une cyberattaque. Selon nos confrères d’Actu.fr, celle-ci implique le déploiement d’un ransomware. Pas de précisions quant à la famille de ce dernier, mais la rançon demandée serait « de plusieurs millions d’euros ».

À nos confrères du Midi Libre, Pierre Mestre, président de NewOrch, a suggéré que l’attaque ait pu commencer par un courriel piégé : « nous sommes une victime collatérale. Selon toute vraisemblance, les virus ont été envoyés à des millions d’adresses mail. Il a suffi que quelqu’un l’ouvre et c’est la panne ».

Cette suggestion peut surprendre : la messagerie électronique du domaine orchestra.fr est protégée par la solution de Mailinblack. Mais celle-ci pourrait avoir été contournée, d’autant plus que le groupe semble avoir retenu une configuration hybride pour le déploiement de Microsoft 365. Un serveur Exchange on-premise arborant un certificat renvoyant au domaine orchestra.fr est resté accessible sur Internet, même si son adresse IP ne figurait plus dans les enregistrements DNS du domaine.

Pour ce serveur Exchange, les moteurs de recherche spécialisés Onyphe et Shodan sont en désaccord. Le premier ne l’a pas vu récemment affecté par les vulnérabilités dites ProxyShell, tandis que le second estime qu’il l’était encore mi-novembre. À ce jour, ce serveur ne répond plus.

Les données de Shodan confortent toutefois l’hypothèse d’une attaque initiée via la messagerie électronique, voire même le serveur d’e-mail. Les attaques de ce type ne manquent pas en ce moment. L’expert Vitali Kremez soulignait récemment que le groupe Conti ne se prive pas de récupérer des identifiants de comptes sur les serveurs Exchange vulnérables pour les fournir à d’autres cybermalfaiteurs à même de les exploiter pour propager des e-mails vérolés.

Selon nos confrères du Midi Libre, « plus de la quasi-totalité » des collaborateurs de NewOrch basés à Saint-Aunès, dans l’Hérault, « a été invitée à rester chez elle en télétravail ». Pour certains, cela pourrait bien ne pas être totalement trivial. De fait, depuis la fin octobre, les enregistrements DNS du domaine ochestra.fr ne permettent plus de trouver l’adresse IP correspondant à l’hôte vdi.orchestra.fr. Pour autant, l’hôte correspondant était encore en ligne fin novembre, selon les données d’Onyphe. Et ces dernières suggèrent qu’il était alors encore affecté par la vulnérabilité dite Shitrix, la CVE-2019-19781 qui a été largement exploitée pour conduire des cyberattaques avec déploiement de rançongiciels. À ce jour, ce système Citrix NetScaler Gateway n’est plus accessible sur Internet.