Sécurisé par un ransomware dans la nuit du 16 au 17. En juillet, la compagnie d’assurance met volontairement en service ses infrastructures. Les employés sont encouragés à rapporter leur équipement sur le site. Quelques points d’entrée possibles ont émergé.
Après une dizaine de jours de fermeture, le site MMA est de nouveau en ligne. La compagnie d’assurance a fermé ses systèmes d’information après l’explosion d’un ransomware dans la nuit du 16 au 17 juillet. La rumeur veut que NetWalker ait récemment frappé Rabot Dutilleul après avoir notamment attaqué Bolloré Transport & Logistics. Mais diverses sources, c’est plus du côté de Revil / Sodinokibi qu’il vaut la peine de se pencher, précisément celle qui a attaqué Faro Technologies en mai.
Selon les informations du collectif CGT Covéa, les équipes informatiques sont fortement mobilisées, notamment pour restaurer au plus vite les applications métiers afin que les clients de la compagnie d’assurance puissent bénéficier de ses services. Et cela ne doit pas être une tâche facile.
Les éléments d’infrastructure exposés sur Internet suggèrent qu’il existe quelques ressources entre les entités du groupe Covéa – MMA, Maaf, GMF ou encore Fidélia Assistance. Mais pas tout, loin de là. De plus, Maaf et GMF n’ont été que beaucoup moins touchés – « les outils fonctionnent malgré une grande lenteur », a déclaré CGT le 23 juillet – et Fidélia « n’a subi que quelques retards et a donc pu assurer la continuité de service pour les appels MMA ».
Cependant, la réintroduction du site MMA ne signale pas la fin des opérations de récupération. La CGT précise ainsi que « ce week-end, tous les salariés (hors jours fériés) doivent apporter tout leur matériel pour analyse. A partir du lundi [3 août] nous serons à nouveau sur place et travaillerons conformément aux applications disponibles ». Sur Facebook du syndicat page certains commentaires indiquent également la nécessité de réinitialiser leur mot de passe: assez pour trahir le travail pour sécuriser l’annuaire.
La CGT précise également que « le télétravail n’est plus possible jusqu’à nouvel ordre, sauf pour les personnes vulnérables disposant d’un certificat d’isolement médical ». Et nos confrères d’Actu.fr s’interrogent: « est-ce à travers [le télétravail] qu’un bug a été exploité par des hackers »? Une question qui résonne en écho aux propos du président du conseil départemental d’E-et-Loir, Claude Térouinard, qui a récemment rappelé dans les colonnes de L’Echo Républicain que des malwares qui affectaient le département auraient pu « pénétrer dans le système informatique via le réseau de télétravail ». En particulier, nos recherches nous ont conduit à identifier un serveur VPN Pulse Secure qui aurait été le moins touché par la vulnérabilité CVE-2019-11510 jusqu’à fin novembre dernier.Une solution était disponible depuis plusieurs mois et les autorités. avait demandé son application urgente à l’été 2019.
En ce qui concerne le MMA et le télétravail, il y a une explication très simple pour le moment: les serveurs VPN SSL Cisco ASA de la compagnie d’assurance ne sont toujours pas disponibles au moment de la rédaction de cet article, – ceux de Maaf et GMF sont à l’inverse bons en ligne (dans l’espoir qu’ils soient à jour avec corrections). Ces serveurs VPN ne sont peut-être pas étrangers à l’attaque.
Mais les attaquants auraient également pu explorer une passerelle Citrix Netscaler affectée par la tristement célèbre vulnérabilité CVE-2019-19781. Deux de ces systèmes étaient récemment présents sur l’infrastructure MMA. Pour les deux, il apparaît que les corrections nécessaires ont été appliquées fin janvier, selon les données de Shodan.
Dépannage informatique Hyères
SOURCES:
MMA: la mise en veille des ransomwares se poursuit
LeMagIT
MMA Cyber Attack: reprise après sinistre sans fin
LeMondeInformatique
MMA: cinq questions sur une cyberattaque qui punit
Les Echos
