La société, filiale à 100 % d’Airbus CyberSecurity, est spécialisée dans la sécurité informatique. Elle vient de faire face à une douloureuse expérience, comme le rapporte l’ANSSI :
- Un accès à des données clients sur un portail Internet de Stormshield destiné à la gestion technique du support client
- Une exfiltration du code source de la gamme de produits Stormshield Network Security
Dans le premier cas, les clients concernés ont été contactés, en précisant les données qui ont pu être consultées par les pirates. « Sur cette base, il est essentiel que chaque client mène une analyse d’impact en conséquence », ajoute l’ANSSI. Le nombre de clients concernés n’est pas précisé.
« Par précaution, les mots de passe de tous les comptes ont été réinitialisés » et « des mesures complémentaires ont été appliquées au portail pour renforcer sa sécurité », précise Stormshield.
Dans le second cas, « les analyses approfondies réalisées avec le soutien des autorités compétentes n’ont pas identifié de trace de modification illégitime de ces sources, ni de compromission de produits Stormshield en fonctionnement, à ce jour ».
« Par mesure de précaution supplémentaire, nous avons anticipé le remplacement du certificat qui permet de signer et d’assurer l’intégrité des mises à jour des produits SNS (Stormshield Network Security) », ajoute la société
La société se veut enfin rassurante : « L’ensemble des activités et moyens techniques au service de nos clients et de nos partenaires sont toujours pleinement opérationnels. Aucune défaillance des solutions Stormshield n’a été identifiée lors des investigations ». L’enquête est toujours en cours et l’entreprise promet de donner de nouvelles informations… « en fonction des éléments qu’ [elle pourra] communiquer ».
Commentaires (19)
#1
J’ai reçu un mail hier de Stormshield, mon compte n’est pas iNpacté. Par contre il faut faire la mise à jour du firmware pour prendre en charge le nouveau certificat.
#1.1
La même chose
#2
Donc les pirates vont ausculter le code, trouver des failles et les garder pour leurs propres attaques et éventuellement les vendre.
A la place d’Airbus, je m’attellerai de suite à la recherche de failles et au travail sur un nouveau code source.
Pourquoi le code source de produits de sécurité n’est pas isolé d’internet ??
Rien n’empêche les devs d’avoir une vm routé sur un réseau local isolé pour garder l’accès étanche. Pour accéder au web, ils ont leur OS host connecté au web.
#2.1
Ce n’est pas parce que le code est visible qu’on sort des faille à la pelle… Sinon Linux et plein de logiciels opensource seraient troués de partout, incluant des solutions de sécurités
Ensuite SNS est maintenu, et des failles sont déjà détectées et corrigés en temps normal…
#2.2
Je sais bien mais SNS n’est pas un code ouvert donc on a pas plus d’info sur sa fiabilité et s’il n’y avait pas de failles potentielles (impossible car il y en a et les correctifs en sont la preuve), quel serait l’intérêt des pirates d’avoir ciblé Stormshield et d’avoir exfiltré le code source ?
Faire de faux stormshield made in China et vendu sur Ali express? Haha, non c’est pas crédible.
C’est pour cette raison qu’un code source, s’il est fermé doit être maintenu loin du net.
#2.4
Nan, Stormshield fait suffisamment «jouet» par rapport à la concurrence, ressemblant déjà à une contrefaçon
(rhoooo je suis méchant, en plus avec le dernier produit français, pas bien! Mais si seulement ils avaient gardé les Arkoon…)
#2.3
Ça rend quand même plus simple la détection d’une 0-day critique, d’avoir le code source.
#3
Comme pour les plus gros (Microsoft, Cisco, ou Fortinet a eu également ce genre de fuite)… même si ça parait assez dingue sur le papier.
Après, dans une période de forte promotion du télétravail, un accès VPN qui contient une faille ou, plus simple, un poste utilisateur mal sécurisé, et c’est open bar…
Par contre, pour ce qui est de la PKI, là, non, ce n’est AMHA pas normal, un des principes de sécurité est de planquer dans un coffre le laptop ou la clef USB contenant le root CA…
Et publier une MAJ alors que l’investigation d’une potentielle altération du code n’est pas finie: ça ne rassure vraiment pas. Sauf si il s’agit seulement de changer 2 fichiers et qu’il n’y a rien de hardcodé (ce dont je doute: on parle quand même de Netasq/Stormshield, la marque qui, en 2021, continue de figer le compte root «admin» sans possibilité de le changer, et qui est le seul à avoir un accès SSH. Oui, exactement l’opposé d’une conf SSH conseillée depuis probablement la création du protocole)
#3.1
Vous faites un double vpn pour le télétravail :
Vpn pour le host et second vpn à l’intérieur pour la VM sécurisée et connecté sur un réseau local non interconnecté au web.
#3.2
Si le problème vient du poste client, vous pouvez faire autant de tunnels que vous voulez: à part réduire la taille de trame utilisable, ça ne changera rien.
#4
Stormshield a un code source audité, puisqu’ils sont certifiés ANSSI. Il y a déjà des yeux externes.
Ensuite, faire de l’isolé d’Internet, ça ne sert à rien dès qu’il existe un accès distant. Même si c’est par un VM avec un certificat et une autre VM qui fasse le routage vpn etc… parce que même les hyperviseurs ont des failles (sans parler des rootkits UEFI).
Quand tu vois que les leds disque dur disparaissent des pcs portables car elles permettent de faire de l’extraction de données à travers un encodage sur le rythme de l’accès disque, et de l’autre côté une caméra sur un téléobjectif…
Ca devait arriver ;) L’essentiel est la réponse de Stormshield désormais ! (y compris vis à vis des utilisateurs qui n’ont pas de contrats de maintenance car ils font uniquement du routage interne / parefeu régulé statiquement)
Va y’en avoir à la pelle, avec des petits “cadeaux” à l’intérieur…
#5
Ouais
entièrement d’accord !
#6
La raison doit plutôt être d’économiser une led et un usinage dans la coque, vu les difficultés tant techniques que pratiques (ligne de visée claire, conditions de luminosité…) pour bénéficier d’un débit de misère après avoir dû véroler la machine isolée localement!
Surtout quand à côté de cela, tu as Thunderbolt en voie de généralisation, surtout depuis qu’il sort sur de l’USB-C… en connexion directe avec le PCIe du processeur et les débits d’extraction qui vont avec.
Si on doit mettre des hacker à la place de la femme de ménage pour mettre en place la 1ère solution, autant faire tout le boulot de suite avec la seconde et repartir en quelques minutes avec tout dans la poche.
#7
Euh donc les pirates savent qu’il y a des failles donc ils ciblent Stormshield pour récupérer le code et y trouver des failles… c’est quoi ce raisonnement circulaire ?
Bah non, des raisons il y en a effectivement : trouver des failles, mais aussi le proposer à la concurrence, a des états, tenter de rançonner Airbus…
Ah mais je ne dis pas le contraire.
Mouarf, je préfère Stormshield que Fortigate (pour rester dans une gamme de prix similaire). Trop de bug sur Forti, trop de changement tout le temps…
#8
oui mais disons qu’a leur place je commanderais quand même une auscultation a la loupe du code source par une entreprise externe pour decelé d’éventuelle faille avant les hacker (ne serais-ce que pour rassurer les clients)
#8.1
Bin…. c’est déjà le cas. C’est même écrit dans la niouze.
#9
non dans la niouze il est dit : “ les analyses approfondies réalisées avec le soutien des autorités compétentes n’ont pas identifié de trace de modification illégitime de ces sources”
moi je parle d’une recherche de faille par une entreprise indépendante “ausculté la sécurité du code donc”, pour vérifier s’il y a eu modification un diff sur une ancienne sauvegarde et le tours est jouer.
Fouillez après d’éventuel faille c’est plus long et complexe.
#9.1
Bin, l’ANSSI c’est pas assez indépendant pour toi ?
#10
Relis l’article : « Sur cette base, il est essentiel que chaque client mène une analyse d’impact en conséquence », ajoute l’ANSSI -> dit qu’il faut faire une analyse.
Ensuite
Dans le second cas, « les analyses approfondies réalisées avec le soutien des autorités compétentes n’ont pas identifié de trace de modification illégitime de ces sources, ni de compromission de produits Stormshield en fonctionnement, à ce jour ».
« Par mesure de précaution supplémentaire, nous avons anticipé le remplacement du certificat qui permet de signer et d’assurer l’intégrité des mises à jour des produits SNS (Stormshield Network Security) », ajoute la société
Donc AUCUNE recherche de faille n’a a été faite, ils ont “juste” vérifier qu’une backdoor ou autre cochonerie du style n’ai été ajouté au sources.
Faire un audit de sécurité, c’est trouvé des failles qu’on connaissait pas avant (pouvant amener a des création de CV-XXXX.