Quel ransomware s’est invité au département d’Eure-et-Loir, et par où ?

Le département d’Eure-et-Loir s’est déclaré victime d’une cyberattaque par ransomware, survenue dans le courant du week-end du 4 juillet. Sur son site Web et son compte Twitter, il indique depuis le 7 juillet que « tous les systèmes d’information du Conseil départemental sont hors service ». Et d'assurer que, « à ce jour, aucune [sic] vol de données n’est à déplorer ».

Le département précise avoir déposé plainte pour atteinte aux systèmes de traitement automatisé de données, et fait appel à un tiers spécialisé « dans les questions de cybercriminalité » tout en travaillant « en étroite collaboration avec l’Agence nationale de la sécurité des systèmes d’information (Anssi) ».

La collectivité assure en outre disposer « de sauvegardes régulières en dehors du réseau » qui « pourront être réinjectées après vérification de leur état », et une fois qu’il sera avéré que « les failles de sécurité sont identifiées et traitées ». Dans la pratique, cela pourrait prendre un temps certain.

En fait, tous les systèmes d’information du département ne sont pas hors service : il semble s’agir surtout de systèmes internes ; actuellement, les agents du département n’ont par exemple pas accès à l’annuaire interne. Mais le département apparaît utiliser notamment OVH pour l’hébergement de certains services destinés au public, à commencer par son site Web eurelien.fr. Et ce n’est pas une migration en urgence : ce domaine est là depuis la fin mars 2019. Ces services sont toujours accessibles. Même si le moteur de recherche spécialisé Shodan et le Site Check de Sucuri ne sont pas tendres avec certains sites Web du département d’Eure-et-Loir. Le second service souligne ainsi l’utilisation de versions datées de Drupal et de Nginx, pointant au total un « risque de sécurité élevé ». Et parmi les vulnérabilités énumérées par Shodan, certaines remontent à… 2014. Et la posture présentée par le moteur de recherche spécialisé pour le portail destiné aux assistantes maternelles n’est guère plus brillante.

La messagerie électronique du département renvoie quant à elle à Adista, qui a indiqué à la rédaction fournir des services de connectivité. Le sous-domaine du portail de gestion des subventions et celui du portail des médiathèques pointent également vers l’infrastructure de cet opérateur de services hébergés. Et à cela, il faut ajouter un serveur VPN Pulse Secure. Une vulnérabilité corrigée depuis la fin avril 2019 par ce fournisseur, la CVE-2019-11510, est régulièrement utilisée pour distribuer le rançongiciel Revil/Sodinokibi. Les attaquants auraient pu entrer par là. Encore aujourd’hui, tous les services du département exposés via l’infrastructure d’Adista semblent arrêtés.

Ce serveur VPN toutefois maintenu. Ainsi, le certificat utilisé pour sécuriser la connexion date de fin mars 2020. ZoomEye a en outre conservé une page Web d’erreur 400 faisait état, dans le commentaire, de l’année 2019 pour le copyright. Ces données ont été collectées le 27 juin. Selon les celles de Bad Packets, ce serveur VPN est toutefois resté affecté par la vulnérabilité CVE-2019-11510 au moins jusqu’au 29 novembre dernier. Shodan l’a de son côté vu vulnérable le 5 novembre 2019. Pour mémoire, les autorités françaises ont appelé à l’application urgente du correctif correspondant – déjà disponible en avril 2019, donc – à la fin du mois d’août dernier, soulignant le début de campagnes d’exploitation active de la vulnérabilité.

Les données de Spyse font ressortir, sur la même adresse IP que ce serveur Pulse Secure, un système qui pourrait avoir été un serveur Windows appartenant au département d’Eure-et-Loir, d’après le nom renvoyé dans sa bannière HTTP : le port 80 est resté ouvert alors que le serveur répondait aux requêtes par une erreur 403. Shodan l’a vu pour la dernière fois mi-février dernier. De son côté, RiskIQ détectait le même nom de serveur entre janvier 2019 et début juillet 2020, sur l’adresse IP renvoyant au portail des médiathèques de département.

Du côté de la messagerie électronique, la sécurité n’apparaît pas avoir été négligée. Selon les données de Shodan et de RiskIQ, elle est protégée par Sophos depuis au moins la fin 2016. Et l’appliance de sécurité correspondante semble quant à elle avoir fait l’objet de mises à jour régulières. Mais les systèmes de protection du courriel ne sont, hélas, ni infaillibles ni suffisants.

Interrogé à deux reprises par la rédaction, notamment sur la nature du ransomware impliqué, et sur son vecteur d’intrusion, un porte-parole du département s’est refusé à tout commentaire, renvoyant au message publié sur le site de la collectivité. Tout au plus nous a-t-il invités à « suivre l’évolution de la situation » et « revenir vers nous dans quelques semaines ». De quoi donner une idée du travail de restauration engagé.

Mais ce silence n’enlève rien à la question de la famille de maliciel impliquée. La situation pourrait s’avérer plutôt embarrassante s’il s’agit de l’un de ceux dont le déclenchement est précédé par un vol de données, utilisé ensuite pour faire pression sur les victimes. Les affirmations du département seraient alors contredites. Et le porte-parole de la collectivité s’est refusé à répondre si oui ou non il y avait eu notification auprès de la CNIL. 

On relèvera enfin que le département apparaît se soucier de la sécurité et de la confidentialité de ses correspondances : il compte parmi les clients de la solution française de visioconférence sécurisée Tixeo.