Cyberattaque contre Harvest : encore d’importantes zones d’ombre

Le 27 février dernier, le groupe Harvest était victime d’une cyberattaque avec demande de rançon. Mais sans rançongiciel à proprement parler, selon les informations à notre disposition. 

D’après ces informations, tout est parti d’un système de téléphonie sur IP, signé Mitel, affecté par une ancienne vulnérabilité qui a été exploitée pour déployer un webshell. Ce dernier a été mis à profit par les assaillants pour étudier l’environnement informatique auquel était intégré ce système, avant de lancer l’attaque de fin février. Une cyberattaque que nous vous rapportions le 5 mars. 

C’est là qu’émerge la première question. Et celle-ci ne concerne pas la gestion des vulnérabilités. Les données de l’outil de gestion de la surface d’attaque exposée Onyphe.io, concernant Harvest, ne laissent pas entrevoir de négligence manifeste en la matière. Cela ne vaut toutefois que pour ce qui est exposé directement sur Internet et ne dit rien de ce qui n’est accessible qu’une fois dans le système d’information. L’entreprise dispose toutefois d’une solution de Patch Management. Et rien ne dit qu’Harvest était responsable du maintien en conditions de sécurité du système Mitel.

La question porte sur l’urbanisme du système d’information : comment se fait-il qu’un système de ToIP ait ouvert une porte sur un environnement de virtualisation ? Certes, disait Harvest, début mars, à ses clients, « la cyberattaque trouve son origine dans un serveur (machine virtuelle hébergée chez un de nos prestataires) ». Cela n’explique pas pourquoi des efforts de segmentation réseau n’ont pas prévenu les mouvements de l’assaillant. Selon nos informations, il est bien parvenu à accéder à un hôte ESXi.

La question de la segmentation surgit également avec l’examen de l’arborescence des données divulguées par Run Some Wares et celui des noms de fichiers et dossiers : ces derniers suggèrent une très grande diversité dans la nature des données concernées. Des noms de dossiers désignent de grandes organisations du secteur des services financiers, d’autres plus modestes, quand d’autres suggèrent que les fichiers contenus se rapportent aux ressources humaines, aux finances et au juridique, à la DSI et à la SSI, aux formations, à la comptabilité et à la paie, etc. 

Certains noms de dossiers suggèrent même la présence de données profondément techniques, liées au développement, à des bases de données et serveurs SQL, voire à la GenAI et à la gestion de tickets. Et c’est sans compter avec ceux qui semblent contenir des données d’instances KeePass. Ou encore deux dossiers (vides) intitulés « Clés de chiffrement BDD » et « Clés de chiffrement Veeam ». CybelAngel les a également repérés.

Tout cela interroge sur les politiques de segmentation réseau et de ségrégation des données, ainsi que sur la rigueur de leur application. Ces questions renvoient aussi à celle de la gestion des privilèges et de l’architecture de l’annuaire, avec celle du cheminement qui a permis à l’assaillant d’obtenir les droits nécessaires à l’exfiltration de toutes ces données avant de déclencher le chiffrement sur le périmètre affecté.

Les noms de deux fichiers de données habituellement liées au gestionnaire de mots de passe KeePass, selon les extensions des noms de fichiers, suggèrent la tenue de tests d’intrusion. C’est assurément encourageant. Mais tout dépend bien sûr des conditions d’engagement et de l’application des leçons retirées.

Pour autant, rien dans cet examen superficiel ne laisse à entrevoir une entreprise ayant négligé la sécurité de son système d’information. N’oublions pas que ceux qui assurent la défense des systèmes d’information essaient d’avoir bon à tous les coups, tandis que les assaillants n’ont besoin que d’un seul coup gagnant.

La directrice générale adjointe d’Harvest, Sonia Fendler, n’en reconnaissait pas moins des pistes d’amélioration nécessaires, début avril, lors d’une allocution à la convention annuelle de l’Anacofi.

Le parcours et l’examen de l’arborescence des fichiers attribués à Harvest par Run Some Wares suggèrent en tout cas que le risque de cyberattaque était effectivement pris en compte par la Fintech. Sa gestion de la communication de crise interroge toutefois sur son niveau de préparation effective à une telle situation.

Le 5 mars, Harvest nous indiquait ne pas avoir prévu de communication publique sur l’incident. Une semaine plus tard, même son de cloche. Si la presse commence alors à se faire l’écho de la cyberattaque, l’ESN reste silencieuse.

Notre consœur Camille Malderez, de Citywire, rapporte de son côté que « si les clients dits de “rang 1″ d’Harvest, ont pu bénéficier de communications rapprochées de la part du groupe, sur les 4 600 revendiqués au total par la firme, nombreux sont ceux qui ont dû se contenter de mails laconiques, naviguant à vue quant à la réalité de la situation et des risques encourus ».

Non seulement Harvest s’est privé d’un relais de masse de l’information sur la situation qu’il traversait, mais il s’est privé d’un moyen de montrer à ses clients les plus informés que le groupe était pleinement transparent avec eux. Ce qui, selon nos informations, n’a pas manqué d’être.

« C’est très compliqué de communiquer dans ce genre de crise et l’Anssi […] vous recommande de ne pas trop écrire parce que quand vous écrivez, et bien ça apparaît dans les réseaux sociaux, ça apparaît dans la presse. »

Harvest aurait été conseillé de ne pas communiquer à la presse. La décision finale n’en revenait toutefois pas à ses conseillers, mais à sa direction. Laquelle a toutefois, depuis quelques semaines, changé plus ou moins de fusil d’épaule… avec des entretiens « en off », selon plusieurs confrères. Un tel entretien a également eu lieu avec LeMagIT ; sa nature « off » n’a été précisée qu’à son début, pas lors de sa planification.

Cette approche, si elle peut aider l’entreprise à s’attirer la confiance des journalistes concernés, n’apporte pas nécessairement grand-chose vis-à-vis de ses clients. Il n’est pas exclu qu’elle génère en outre des interrogations additionnelles. Les mises en demeure rapportées par Clément Domingo et Benjamin Charles, après qu’ils se soient penchés sur les données divulguées, pourraient ne pas exactement profiter à l’image d’Harvest non plus. 

Évoquant la communication publique du groupe à la convention annuelle de l’Anacofi, Sonia Fendler, a avancé un début d’explication : « c’est très compliqué de communiquer dans ce genre de crise et l’Anssi […] vous recommande de ne pas trop écrire parce que quand vous écrivez, et bien ça apparaît dans les réseaux sociaux, ça apparaît dans la presse ». 

« Compliqué », c’est discutable. Les principales clés d’une communication de crise sereine sont connues, et sans en faire des tonnes. L’Anssi elle-même a eu l’occasion de partager ses bonnes pratiques en la matière. Nous-mêmes avons ouvertement détaillé les questions que nous posons aux victimes de cyberattaque, et les raisons pour lesquelles elles comptent.

En définitive, l’important est bien de se préparer, en prévoyant la presse dans son plan de communication. La réputation, tout particulièrement en situation de crise, c’est d’abord une affaire de communication.