La société de sécurité Stormshield perd son code source dans une cyberattaque

La société française de cybersécurité Stormshield a révélé une fuite de code source de ses produits Stormshield Network Security and Network Security Industrial Firewall à la suite d’une cyberattaque qui a vu des acteurs malveillants accéder sans autorisation à un portail technique utilisé par les clients et les partenaires pour gérer les tickets de support technique.

L’incident, qui aurait eu lieu en décembre 2020, a également vu les données personnelles et les échanges techniques associés à un certain nombre de comptes clients consultés et consultés, et éventuellement volés. Tous les utilisateurs concernés ont déjà été contactés.

L’entreprise a également informé les autorités Français, réinitialisé tous ses mots de passe de compte et renforcé la sécurité sur son portail de support. Elle a également consolidé la sécurité sur son portail de l’Institut Stormshield, que les clients utilisent pour accéder aux cours de formation.

Stormshield remplace également tous les certificats sur le produit SNS et a mis à la disposition des clients et des partenaires des mises à jour afin que leurs installations puissent continuer à fonctionner.

« Des entreprises comme Stormshield, qui fournissent des solutions de cybersécurité contre l’explosion des cybermenaces, semblent être une nouvelle cible pour les attaquants hautement préparés et expérimentés », a déclaré le cabinet dans un communiqué. « Nous continuerons d’apporter de la visibilité sur cet incident, selon les éléments que nous sommes en mesure de communiquer. »

Contacté par le titre jumeau d’Computer Weekly, LeMagIT, le PDG de Stormshield, Pierre-Yves Hentzen, a déclaré que l’enquête de l’entreprise avait permis d’identifier plusieurs techniques avancées utilisées dans l’attaque, suggérant qu’elle avait été ciblée et soigneusement préparée. Il a dit que seulement 2% des comptes clients ont été touchés par l’incident – 200 sur plus de 10.000.

À ce jour, l’enquête médico-légale n’a révélé aucune trace de modification du code source du SNS, a-t-il ajouté.

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a confirmé qu’elle travaillait aux côtés de Stormshield pour faire face aux deux incidents liés.

« Il est essentiel que chaque client effectue une analyse d’impact en conséquence, et bien que l’incident n’a pas d’impact opérationnel immédiat pour ses clients, Stormshield a publié une mise à jour que nous vous recommandons d’appliquer par mesure de précaution », a déclaré l’agence.

« En outre, pour la durée des enquêtes et aussi par mesure de précaution, l’ANSSI a décidé de mettre en observation les qualifications et les approbations des produits SNS et SNI. »

Stormshield est le dernier d’une série d’entreprises de cybersécurité à avoir été compromis dans une chaîne d’incidents.

En outre, en tant que principal fournisseur de produits et services de sécurité pour le gouvernement Français, cette attaque soulève la possibilité que l’intrusion pourrait avoir fait partie d’une campagne plus large de cyberespionnage, bien que cela ne soit pas confirmé.

Paul Bischoff de Comparitech a déclaré qu’il s’agissait certainement d’une possibilité qu’il fallait envisager. « Étant donné qu’il s’agissait d’une attaque contre un système de sécurité du gouvernement et les pirates ont inspecté le code source, il ne semble pas être vos voleurs de données typiques à la recherche de fruits à faible pendaison. L’attaque aurait bien pu être commanditée par l’État », a-t-il déclaré à Computer Weekly dans des commentaires envoyés par courriel.

« Toutes les cyberattaques sont préoccupantes, mais celles contre les entreprises de cybersécurité sont particulièrement préoccupantes. Cette attaque n’endommagera sans doute pas la réputation et les perspectives d’avenir de Stormshield, mais le temps nous dira si le gouvernement Français décide réellement de remplacer Stormshield ou de s’y tenir.

Chris Hauk, champion de la protection de la vie privée des consommateurs chez Pixel Privacy, a ajouté: « Des attaques comme celles-ci sont particulièrement préoccupantes, car elles peuvent provenir de mauvais acteurs parrainés par l’État.

« Le fait que l’attaque ait été menée contre un groupe qui fournit des services de sécurité et des dispositifs de sécurité réseau au gouvernement Français, et que les assaillants aient volé des parties du code source utilisé dans un produit de pare-feu utilisé par le gouvernement Français, me suggère que l’attaque pourrait avoir été commanditée par l’État.

« En outre, dans de nombreux cas comme celui-ci, un groupe de pirates informatiques revendiquera publiquement la responsabilité de la violation. Cependant, jusqu’à présent, tous les groupes bien connus restent silencieux.