Tempête chez Stormshield. L'acteur français de la cybersécurité né du rapprochement d'Arkoon et de Netasq - deux anciennes filiales d'Airbus Defence and Space - a été victime d'un grave incident de sécurité. « Des données personnelles et des échanges techniques associés à certains comptes ayant ainsi pu être consultés, nous avons immédiatement averti les propriétaires des comptes concernés et avons notifié les autorités compétentes », a averti la société.
L'ANSSI fait partie des acteurs mis dans la boucle de cette intrusion et il a même émis - comme c'est très rarement le cas - un communiqué relatif à cet incident. « Il est essentiel que chaque client mène une analyse d’impact en conséquence », a prévenu l'agence qui doit craindre, sans le dire explicitement, des attaques par rebond. Certaines entreprises qui, comme SNCF Réseau, Groupements hospitaliers de territoire, Port Boulogne Calais, Université de Cergy-Pontoise, TAT Productions, Agglomération Vichy Communauté... sont des utilisateurs des produits Stormshield, pourraient constituer des cibles de choix pour des cyberattaquants.
Du code source de Stormshield Network Security et Network Security Pare-feu Industriel exfiltré
L'intrusion a concerné le portail dédié à la gestion technique du support client de l'éditeur. « Tous les tickets de support et les échanges de données liés aux comptes concernés ont été analysés et les résultats ont été communiqués aux clients. En parallèle, nous avons également appliqué des mesures préventives similaires au portail Stormshield Institute, utilisé pour la gestion de nos formations certifiantes », indique la société.
Un malheur n'arrivant jamais seul, un deuxième grave souci de sécurité a été détecté, à savoir une exfiltration du code source de la gamme de produits Stormshield Network Security. « Seuls les produits Stormshield Network Security et Network Security Pare-feu Industriel apparaissent concernés par cette exfiltration », a fait savoir l'ANSSI. « À ce stade des investigations conduites par Stormshield et l’ANSSI, aucun élément ne permet de conclure que le code source du produit détenu par la société a été altéré par l’attaquant ».
Un scénario à la SolarWinds à éviter à tout prix
Par mesure de précaution supplémentaire, Stormshield a par ailleurs annoncé avoir anticipé le remplacement du certificat permettant de signer et d’assurer l’intégrité de ses mises à jour des produits SNS (Stormshield Network Security). « De nouvelles mises à jour ont été mises à disposition des clients et partenaires pour que leurs produits puissent fonctionner avec ce certificat », explique le fournisseur. Avec à la clé une volonté à tout prix d'éviter un scénario à la SolarWinds ayant débouché sur la compromission de mises à jour produits et des nombreux dégâts et dommages collatéraux qui ont suivi.