Qui est LockBit 3.0, le cyber-rançonneur de La Poste Mobile ?

Depuis le début de la semaine, le site de La Poste Mobile ne fonctionne plus en raison d'une cyberattaque rançongiciel. Celle-ci est revendiquée par LockBit 3.0, le numéro 1 du milieu cybercriminel, qui espère extorquer de l'argent à sa victime. Heureusement, les données personnelles des clients semblent épargnées par l'attaque d'après les premiers diagnostics de La Poste Mobile. Décryptage.
François Manens
(Crédits : Dado Ruvic)

Encore une cyberattaque réussie. Depuis lundi 4 juillet, le site de La Poste Mobile s'affiche en maintenance, empêchant ses 1,8 millions de clients d'accéder à tout un éventail de services, comme l'activation de leurs cartes SIM ou l'accès à leurs factures. Quatre jours plus tard, l'entreprise a fini par cracher le morceau, dans un communiqué envoyé aux clients et à la presse : « Les services administratifs et de gestion de La Poste Mobile ont été victimes, ce lundi 4 juillet, d'un virus malveillant de type rançongiciel. Dès connaissance de cet incident, La Poste Mobile a pris les mesures de protection nécessaires en suspendant immédiatement les systèmes informatiques concernés. Cette action de protection a conduit à fermer momentanément le site internet et l'espace client. »

Comme l'a noté le journaliste du MagIT Valéry Marchive, le nom de La Poste Mobile est apparu dans la nuit de jeudi à vendredi sur le site où le groupe cybercriminel LockBit affiche ses victimes. Ce gang opère un rançongiciel, un type de logiciel malveillant qui chiffre les données et peut paralyser l'activité informatique d'une entreprise. Les malfaiteurs proposent de débloquer les victimes de cet outil en échange d'une rançon, que les spécialistes conseillent à l'unanimité de ne pas payer.

Le plus grave évité ?

Les rançongiciels sont construits de sorte à se répandre sur le plus de machines possibles au sein du réseau touché. Dans le cas de La Poste Mobile, les premiers diagnostics sont plutôt positifs : le logiciel malveillant est resté relativement cloisonné. « Les premières analyses établissent que les serveurs essentiels au fonctionnement des lignes mobiles des clients ont bien été protégés. En revanche, il est possible que des fichiers présents dans des ordinateurs de salariés de La Poste Mobile aient été affectés. Certains d'entre eux peuvent contenir des données à caractère personnel », détaille le communiqué.

La Poste Mobile laisse entendre que les données client n'ont pas été touchées, mais elle les appelle à être vigilant face à d'éventuelles tentatives de phishing ou d'usurpation d'identité. « De l'extérieur, on ne peut pas savoir ce qui a été volé. Ce n'est pas parce que les attaquants ont eu accès au système d'information qu'ils ont eu accès à tous ses recoins. La gravité de l'attaque dépendra de jusqu'où ils sont arrivés », évalue auprès de La Tribune Narimane Lavay, analyste en Cyber Threat Intelligence (CTI) chez Sekoia. LockBit a pour habitude de mettre les données volées à la vente, avec des échantillons disponibles gratuitement, ce qui pourrait donner une indication sur les dégâts qu'il a causé.

Selon l'ampleur de l'attaque, La Poste Mobile peut prendre plusieurs jours à plusieurs semaines -voire plusieurs mois- pour retrouver un fonctionnement normal de son système informatique. Son service client téléphonique reste ouvert en cas d'urgence en attendant.

LockBit, rançongiciel numéro 1

Le groupe LockBit, qui revendique l'attaque, est bien connu des experts de la cybercriminalité puisqu'il a trois ans d'existence, une durée de vie rare pour un rançongiciel. Relativement discret entre 2019 et 2020, le groupe a accéléré son activité en 2021, avec le déploiement d'une version 2.0 de son logiciel malveillant qui a fait bien plus de victimes et de dégâts que la précédente. Et le gang a poursuivi sur cette trajectoire de croissance en 2022, avec une version 3.0 détectée pour la première fois en mai.

« LockBit est le rançongiciel numéro 1 en nombre d'attaques revendiquées depuis le début d'année », relève Livia Tibirna, également analyste CTI chez Sekoia. « Ils affirment avoir plus de 30 affiliés [des partenaires chargés de lancer les attaques, ndlr], un nombre assez impressionnant. Ses porte-parole communiquent en Russe, et ils affirment que leurs membres sont nés dans les pays anciennement soviétiques. Ils auraient des affiliés aux quatre coins du monde », ajoute-t-elle.

Par rapport à ses semblables, LockBit a la spécificité d'être particulièrement structuré. Les deux analystes de Sekoia décrivent le groupe comme une « startup", voire même une "scale-up", le nom donné aux startups destinées à devenir de grands groupes. « LockBit a la volonté d'intégrer le plus d'outils et de techniques possible pour rendre la structure plus globale", résume Livia Tibirna. Comme si le marché du rançongiciel était un marché comme un autre.

Des précautions pour éviter les forces de l'ordre

« LockBit 3.0 a le programme d'affilié le plus détaillé que nous ayons vu. Ils précisent ce que leurs partenaires peuvent et ne peuvent pas installer chez leurs victimes, et ils listent les secteurs à épargner comme le médical, l'éducation ou le pétrolier", précisent les analystes de Sekoia. Ces précautions auraient pour objectif « d'éviter tout ce qui peut inciter les forces de l'ordre à agir". LockBit veut certainement éviter le destin funeste de DarkSide à l'origine de l'attaque contre les oléoducs de Colonial Pipeline, ou celui de REvil, démantelé par une coalition internationale de forces de l'ordre.

Le gang recrute donc ses affiliés sur un forum, en fonction de leur réputation. Ces derniers doivent faire un dépôt de 1 bitcoin (21.320 euros au cours actuel) pour entrer dans le programme. Il trie ainsi ses partenaires sur le volet, pour éviter les écarts pouvant le mettre en péril. Dans cette même démarche d'assurer ses arrières, Lockbit a ouvert un bug bounty : il s'engage à rémunérer toute personne qui l'avertirait d'un défaut sur sa plateforme ou dans son outil. Cette nouveauté a déstabilisé plus d'un expert. Le gang essaie de reprendre à son compte des méthodes de protection utilisées par les entreprises légales.

La Poste Mobile fait donc partie des premiers noms d'une liste de victimes amenée à s'allonger pendant les prochains mois, à la faveur de l'organisation mieux huilée que jamais du groupe LockBit. Une mauvaise nouvelle de plus pour les défenseurs des systèmes informatiques des entreprises.

François Manens

Sujets les + lus

|

Sujets les + commentés

Commentaires 4
à écrit le 28/07/2022 à 21:09
Signaler
Oui là banque postale, symbole de la protection cyber comme la carte vitale, dont chaque français paye la sécurité cyber tous les ans, tout à été piraté vendu, ce sont des faits, donc il serait bien de remettre en place les centaines de sociétés st...

à écrit le 10/07/2022 à 17:01
Signaler
Il est grand temps d arrêter les techno. Idylles truc chouettes j’informatisais … le tout informatique cloud et autres arnaques ne sont pas sécurisés …. Vive le stylo et le papier

à écrit le 09/07/2022 à 8:30
Signaler
Toujours plus d'innovation pour moins de résilience et cela veut changer de paradigme!?;-)

à écrit le 09/07/2022 à 8:19
Signaler
Plus le temps passe et plus les hackers s'en donne à cœur joie tandis que plus le CA de la sécurité augmente. Ça fait un peu penser aux boucs émissaires que sont les travailleurs émigrés vous ne trouvez pas ? On les fait venir pour les exploiter et o...

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.