Tentative d’intrusion : comment Lactalis a échappé à la catastrophe

Paul Lemesle, RSSI de Lactalis, se remet d’une semaine intense, durant laquelle, reconnaît-il avec humilité, « nous avons eu de la chance, mais la chance ne sourit qu’aux esprits bien préparés (Louis Pasteur) ». Une chance que d’autres n’ont pas eue ou n’auront pas.

Pour les équipes SI, en France et à travers le monde, tout a commencé par une alerte remontée par l’éditeur de son EDR. Celui-ci a récemment été déployé au cœur de l’infrastructure, sur des contrôleurs de domaine. Le 24 février, l’EDR est formel : des traces trahissent une tentative de mettre la main sur les contrôleurs de domaine et d’obtenir les clés du royaume, en devenant administrateur.

Rapidement, des agents de l’EDR ont été déployés largement dans le système d’information de Lactalis et de ses filiales à travers le monde. Cela a permis de récolter les traces nécessaires pour remonter le chemin emprunté par les attaquants, et parvenir jusqu’au contrôleur de domaine où avaient initialement été détectés les signaux faibles de l’activité malicieuse en cours. L’épicentre est identifié : une filiale brésilienne de Lactalis, via une passerelle Citrix/Netscaler Gateway.

Pour mémoire, ces passerelles ont été affectées par la vulnérabilité CVE-2019-19781, dévoilée fin 2019, et dont l’exploitation a commencé très vite, début 2020. Problème : l’application des correctifs peut protéger de l’exploitation de cette vulnérabilité, mais pas du détournement d’identifiants collectés avant cette application, alors que l’équipement affecté est encore vulnérable.

Dassault Falcon Jet, selon les opérateurs de Ragnar Locker, l’a appris à ses dépens. Un système Citrix/Netscaler Gateway était encore affecté par cette vulnérabilité, dite Shitrix, fin mars 2020. Mais l’intrusion a commencé bien plus tard. Les assaillants nous ont assuré être restés six mois dans l’environnement avant de déclencher leur rançongiciel début décembre.

De nombreuses victimes de ransomwares, l’an passé, ont exposé, un temps au moins, des systèmes affectés par le CVE-2019-19781 : Scutum, Bretagne Télécom, ISS World, Faro Technologies, Foxconn, ou encore Honda et Enel, ainsi que les laboratoires Expanscience, la Mutuelle nationale des hospitaliers, et le centre hospitalier de Villefranche-sur-Saône.

Chez Lactalis, les traces observées font remonter le début des activités malicieuses au 22 février. Aujourd’hui, les traces de telles activités ont disparu. L’infrastructure mise en place pour attaquer le géant laitier apparaît inactive. Les indicateurs de compromission liés à celle-ci ont toutefois été partagés pour aider le reste de la communauté de la cybersécurité. C’est aussi pour cela que Lactalis a joué rapidement la transparence.

Laurent Singer, le DSI de Lactalis ne cache pas sa gratitude à l’égard de ses homologues qui ont offert leur aide dans cette épreuve ni sa reconnaissance à l’Agence nationale pour la sécurité des systèmes d’information (Anssi), dont l’accompagnement s’est avéré précieux. Et il ne manque pas de souligner l’engagement des équipes de Lactalis partout dans le monde, en particulier des managers réseau, infrastructures et support. Il souligne aussi le professionnalisme des prestataires venus à la rescousse. S’il peut se montrer satisfait de la gestion de cet évènement, il reste conscient de l’effort permanent et collectif que nécessite la sécurité informatique. Cela reste une préoccupation perpétuelle, insiste-t-il.

« Sans l’EDR nous n’aurions rien vu venir. Et sans les services de sécurité managés, l’EDR ne nous aurait pas permis de réagir dans l’instant. »

Mais Paul Lemesle tire déjà deux leçons. La première, l’importance combinée des outils, des ressources humaines et des processus : « sans l’EDR nous n’aurions rien vu venir. Et sans les services de sécurité managés, l’EDR ne nous aurait pas permis de réagir dans l’instant. Nous n’aurions pu que retracer la chronologie de l’attaque ».

La seconde tient à l’importance de l’application des correctifs, qui avaient justement été déployés pour traiter la vulnérabilité zerologon. Et effectivement, cette vulnérabilité, découverte le 11 août dernier, est une aubaine que les rançonneurs n’ont pas manqué de mettre à profit pour accélérer considérablement leurs attaques dans les environnements où les correctifs n’ont pas été appliqués.