Julien Mathis, CEO de Centreon, nous l’a affirmé, suite à la mise en cause de son logiciel de supervision réseau dans des cyberattaques contre de grandes entreprises françaises : “Ceux qui ont eu un problème cyber ne sont pas nos clients ».
Julien Mathis fait le point avec Solutions Numériques. Non, les clients de Centreon ne sont pas concernés par ce problème cyber. Il s’agit de la version Open source du logiciel (libre, et gratuite), non supportée par Centreon, et que les utilisateurs ne mettent pas à jour, qui a pu entraîné des incidents cyber dans des entreprises. Et non, il n’y pas de rapport avec l’affaire SolarWinds. Et Centreon de faire appel au “professionnalisme” des entités qui utilisent le produit Open Source et d’expliquer d’ailleurs réfléchir avec l’ANSSI à définir une méthodologie qui permettraient aux entreprises de prendre conscience qu’un logiciel Open Qource, comme n’importe quel autre programme, se met à jour. Voici en quelques lignes un résumé des explications du dirigeant.
Des clients prestigieux, dont des ministères, un logiciel stratégique pour les entreprises, qui fait du monitoring de réseau : il n’en fallait pas plus pour que l’information d’une faille de sécurité dans le produit Open Source Centreon fasse la Une des médias, écornant au passage l’image de la société française. Le lundi 16 février, l’Agence nationale de la sécurité des systèmes d’information (Anssi), alerte en effet sur la découverte d’une intrusion informatique « touchant plusieurs entités françaises » via le logiciel Centreon. « Les premières compromissions identifiées par l’Anssi datent de fin 2017 et se sont poursuivies jusqu’en 2020 », a écrit l’Agence dans un rapport présentant les informations techniques liées à cette campagne d’attaque. La campagne « a principalement touché des prestataires de services informatiques, notamment d’hébergement web », a-t-elle précisé.
Centreon rappelle les règles de bon usage de l’Open Source
“Centreon, c’est plus de 700 clients, une entreprise en pleine croisance, un produit Open Source utilisé massivement dans le monde – on estime que 200 000 instances sont déployées, mais le chiffre est sans doute plus élevé », nous explique Julien Mathis. Et c’est là que, justement, le bât blesse à ses yeux. “Les entreprises font un usage de la solution Open Source que nous ne maîtrisons pas du tout ». Il estime donc que sa responsabilité ne peut pas s’étendre à une mauvaise utilisation de ce produit. Julien Mathis en vient à faire un appel à la vigilance pour que cette solution, et toutes les applications Open Source en général, s’utilisent dans les meilleures conditions, en les maintenant à jour “pour la sécurité, la stabilité, la performance ».
Centreon a développé ce fameux logiciel, alors que ses fondateurs, dont Julien Mathis, étaient encore étudiants à l’école d’ingénieurs Epitech. Pendant plusieurs années, la société a vendu du service, puis elle a fait évoluer son business model pour “passer en mode éditeur“. Sur la base Open Source, Centreon a alors greffé des modules payants, qu’elle a développés, et qui apportent diverses fonctionnalités – analyse, corrélation, cartographie, reporting… – répondant aux besoins des DSI de grand groupes. Cependant, en effet, de nombreuses entreprises n’utilisent que la structure Open Source, sans aucun service, comme la notification de patchs de sécurité par exemple, contrairement à la version commercialisée. Et si “en 2014, nous avons corrigé, en moins de 24 heures, une falle de sécurité remontée par une société de sécurité, Centreon n’est pas responsable du fait que l’utilisateur ou le client ne mette pas à jour sa version ».
Centreon se voit en porte-drapeau de la prévention
Julien Mathis souhaiterait contacter ces utilisateurs, plaide-t-il, mais “nous n’avons pas leurs coordonnées, ni e-mails, ni téléphones, ni adresses. Nous n’avons même pas de noms. » Le dirigeant se donne pour mission de “mieux les suivre, mieux les conseiller », via par exemple “un fil où ils pourront s’inscrire pour avoir les mises à jour ».
Le dirigeant de Centreon voit même son entreprise en porte-parole de cet appel à mieux surveiller les produits Open Source dans leur ensemble, au-delà de la supervision, donnant en exemple les nombreuses solutions pour gérer les mails, la sécurité ou encore les backups utilisées de par le monde. “Nous voudrions éveiller la curiosité et l’attention de tous les DSI ».