La journée de mardi a été intense pour Julien Mathis, co-fondateur et DG de Centreon. Il faut dire que la veille au soir, l’Anssi publiait un rapport intitulé, « la campagne d’attaque du mode opératoire Sandworm ciblant les serveurs Centreon » qui a provoqué quelques remous. Dans ce document, le gendarme de la cybersécurité explique avoir été informé « d’une campagne de compromission touchant plusieurs entités françaises » et plus particulièrement « des prestataires de services informatiques, notamment d’hébergement web ».

Dans un premier temps, Centreon décide de communiquer a minima pour prendre le temps d’enquêter sur les révélations de l’Anssi. Interrogé sur le moment où l’éditeur a été informé, Julien Mathis répond, « il y a 10 jours, nous avons eu un entretien avec l’Anssi pour parler de différents sujets et ils ont évoqué un dossier sur une campagne sur des serveurs Centreon puis, le 15 février, l’agence a publié son rapport ». Cette rapidité a surpris le dirigeant, « il semble que l’Anssi ait souhaité accélérer par rapport à son protocole usuel dans ce genre de cas, car nous n'avons pas été avertis de la publication du rapport ». Le protocole de divulgation de failles ou d’incidents prévoit d’avertir l’éditeur en avance pour préparer des correctifs et une communication ad hoc.

Le flou persiste sur l’identité des plateformes victimes

Sévèrement pointé du doigt par l'Anssi, Julien Mathis revient sur les résultats de l’enquête interne. « Le problème concerne une version obsolète du logiciel open source de Centreon, non mise à jour et, qui plus est, installée sur des serveurs exposés sur Internet ». Et d’ajouter, « il y a visiblement eu par ailleurs une gestion inadaptée de la solution par des opérateurs, des hébergeurs - à ce que dit l’Anssi - qui ont utilisé cette version open source obsolète ». Par-contre le flou persiste sur les victimes impactées, « nous avons retenu de nos échanges avec l’Anssi que la campagne concernait 15 plateformes, mais nous n’avons pas leur identité », constate le co-fondateur.

Il insiste néanmoins sur un point, « nos clients n’ont pas été impactés par cette campagne. Ils utilisent les versions propriétaires de nos plateformes : Centreon IT Edition et Centreon Business Edition ». Mais pour être totalement sûr, Centreon et ses partenaires mènent des analyses poussées sur les différentes plateformes pour les mettre à jour le cas échéant. « Nous fournissons de la documentation et de la méthodologie en plus des éléments donnés par l’Anssi », assure-t-il. Par ailleurs, l’enquête n’a pas conclu à une propagation de code malveillant via l’outil de supervision, il n’y a donc pas d’attaque de type supply chain comme dans le cadre de SolarWinds. Dont acte.