Encore une cyberattaque réussie. Depuis lundi 4 juillet, le site de La Poste Mobile s'affiche en maintenance, empêchant ses 1,8 millions de clients d'accéder à tout un éventail de services, comme l'activation de leurs cartes SIM ou l'accès à leurs factures. Quatre jours plus tard, l'entreprise a fini par cracher le morceau, dans un communiqué envoyé aux clients et à la presse : « Les services administratifs et de gestion de La Poste Mobile ont été victimes, ce lundi 4 juillet, d'un virus malveillant de type rançongiciel. Dès connaissance de cet incident, La Poste Mobile a pris les mesures de protection nécessaires en suspendant immédiatement les systèmes informatiques concernés. Cette action de protection a conduit à fermer momentanément le site internet et l'espace client. »
Comme l'a noté le journaliste du MagIT Valéry Marchive, le nom de La Poste Mobile est apparu dans la nuit de jeudi à vendredi sur le site où le groupe cybercriminel LockBit affiche ses victimes. Ce gang opère un rançongiciel, un type de logiciel malveillant qui chiffre les données et peut paralyser l'activité informatique d'une entreprise. Les malfaiteurs proposent de débloquer les victimes de cet outil en échange d'une rançon, que les spécialistes conseillent à l'unanimité de ne pas payer.
Le plus grave évité ?
Les rançongiciels sont construits de sorte à se répandre sur le plus de machines possibles au sein du réseau touché. Dans le cas de La Poste Mobile, les premiers diagnostics sont plutôt positifs : le logiciel malveillant est resté relativement cloisonné. « Les premières analyses établissent que les serveurs essentiels au fonctionnement des lignes mobiles des clients ont bien été protégés. En revanche, il est possible que des fichiers présents dans des ordinateurs de salariés de La Poste Mobile aient été affectés. Certains d'entre eux peuvent contenir des données à caractère personnel », détaille le communiqué.
La Poste Mobile laisse entendre que les données client n'ont pas été touchées, mais elle les appelle à être vigilant face à d'éventuelles tentatives de phishing ou d'usurpation d'identité. « De l'extérieur, on ne peut pas savoir ce qui a été volé. Ce n'est pas parce que les attaquants ont eu accès au système d'information qu'ils ont eu accès à tous ses recoins. La gravité de l'attaque dépendra de jusqu'où ils sont arrivés », évalue auprès de La Tribune Narimane Lavay, analyste en Cyber Threat Intelligence (CTI) chez Sekoia. LockBit a pour habitude de mettre les données volées à la vente, avec des échantillons disponibles gratuitement, ce qui pourrait donner une indication sur les dégâts qu'il a causé.
Selon l'ampleur de l'attaque, La Poste Mobile peut prendre plusieurs jours à plusieurs semaines -voire plusieurs mois- pour retrouver un fonctionnement normal de son système informatique. Son service client téléphonique reste ouvert en cas d'urgence en attendant.
LockBit, rançongiciel numéro 1
Le groupe LockBit, qui revendique l'attaque, est bien connu des experts de la cybercriminalité puisqu'il a trois ans d'existence, une durée de vie rare pour un rançongiciel. Relativement discret entre 2019 et 2020, le groupe a accéléré son activité en 2021, avec le déploiement d'une version 2.0 de son logiciel malveillant qui a fait bien plus de victimes et de dégâts que la précédente. Et le gang a poursuivi sur cette trajectoire de croissance en 2022, avec une version 3.0 détectée pour la première fois en mai.
« LockBit est le rançongiciel numéro 1 en nombre d'attaques revendiquées depuis le début d'année », relève Livia Tibirna, également analyste CTI chez Sekoia. « Ils affirment avoir plus de 30 affiliés [des partenaires chargés de lancer les attaques, ndlr], un nombre assez impressionnant. Ses porte-parole communiquent en Russe, et ils affirment que leurs membres sont nés dans les pays anciennement soviétiques. Ils auraient des affiliés aux quatre coins du monde », ajoute-t-elle.
Par rapport à ses semblables, LockBit a la spécificité d'être particulièrement structuré. Les deux analystes de Sekoia décrivent le groupe comme une « startup", voire même une "scale-up", le nom donné aux startups destinées à devenir de grands groupes. « LockBit a la volonté d'intégrer le plus d'outils et de techniques possible pour rendre la structure plus globale", résume Livia Tibirna. Comme si le marché du rançongiciel était un marché comme un autre.
Des précautions pour éviter les forces de l'ordre
« LockBit 3.0 a le programme d'affilié le plus détaillé que nous ayons vu. Ils précisent ce que leurs partenaires peuvent et ne peuvent pas installer chez leurs victimes, et ils listent les secteurs à épargner comme le médical, l'éducation ou le pétrolier", précisent les analystes de Sekoia. Ces précautions auraient pour objectif « d'éviter tout ce qui peut inciter les forces de l'ordre à agir". LockBit veut certainement éviter le destin funeste de DarkSide à l'origine de l'attaque contre les oléoducs de Colonial Pipeline, ou celui de REvil, démantelé par une coalition internationale de forces de l'ordre.
Le gang recrute donc ses affiliés sur un forum, en fonction de leur réputation. Ces derniers doivent faire un dépôt de 1 bitcoin (21.320 euros au cours actuel) pour entrer dans le programme. Il trie ainsi ses partenaires sur le volet, pour éviter les écarts pouvant le mettre en péril. Dans cette même démarche d'assurer ses arrières, Lockbit a ouvert un bug bounty : il s'engage à rémunérer toute personne qui l'avertirait d'un défaut sur sa plateforme ou dans son outil. Cette nouveauté a déstabilisé plus d'un expert. Le gang essaie de reprendre à son compte des méthodes de protection utilisées par les entreprises légales.
La Poste Mobile fait donc partie des premiers noms d'une liste de victimes amenée à s'allonger pendant les prochains mois, à la faveur de l'organisation mieux huilée que jamais du groupe LockBit. Une mauvaise nouvelle de plus pour les défenseurs des systèmes informatiques des entreprises.
Plan d'urbanisme à Paris : les professionnels dénoncent « une aberration », le premier adjoint d'Hidalgo leur répond
Sujets les + commentés