Prosegur : un spécialiste de la sécurité physique frappé par une attaque logique

Prosegur a fait état ce mercredi 27 novembre d’un grave incident de sécurité dans « ses plateformes de télécommunications ». Et d’indiquer avoir « immédiatement activé ses protocoles de sécurité », notamment en restreignant les communications « avec ses clients pour éviter toute propagation ». Très vite, le groupe spécialiste de la sécurité physique a assuré avoir identifié le coupable : le ransomware Ryuk.

Pour mémoire, ce rançongiciel Ryuk ne se propage pas seul : un maliciel tel qu’Emotet ou Trickbot peut être utilisé pour en assurer le dépôt. Mais c’est une mauvaise nouvelle, car comme c’est hélas de plus en plus fréquemment observé, les assaillants prennent leur temps pour explorer le système d’information après y avoir pris pied, jusqu’à compromettre le cœur de l’infrastructure : l’annuaire. Ce n’est qu’une fois cela fait que le ransomware est déployé, avant d’être activé.

Pour Adam Meyers, vice-président de CrowdStrike en charge du renseignement sur les menaces, les attaques impliquant Ryuk font partie de ce que le fournisseur appelle la « chasse au gros gibier » où des groupes de cyberdélinquants comme Grim Spider ciblent les grandes entreprises afin de générer des paiements élevés, rapidement : « dans de tels cas, le ransomware est déployé dans l’ensemble de l’organisation pour maximiser les revenus ». Les auteurs de Ryuk sont soupçonnés d’agir depuis la Russie.

Et voilà, Emotet s’est graduellement réveillé fin août, après une brève pause estivale. Récemment, Check Point lui attribuait la première marche du podium des menaces en octobre, après s’être contenté de la cinquième en septembre, et touchant 14 % des entreprises dans le monde. Début novembre, Proofpoint faisait état d’un retour très remarqué, avec des « campagnes régulières à fort volume » : « au cours des deux dernières semaines de septembre, ces attaques ont représenté plus de 11 % de toutes les charges utiles malveillantes ».

Dans l’après-midi de ce jeudi 28 novembre, Prosegur a assuré avoir réussi à « pleinement contenir » l’incident et « déjà déployé tous les contrôles de remédiation nécessaires ». Selon son communiqué, la restauration de ses services a été engagée. Et l’urgence semble déjà se faire sentir.

Si pour beaucoup d’entreprises, le délai de reprise de l’activité entraîne essentiellement des pertes d’exploitation, avec Prosegur, c’est la sécurité physique des clients qui est en jeu. Et il n’aura pas fallu 24 h pour que certains déplorent sur Twitter que leurs alarmes ne fonctionnent plus, ou que des revendeurs indiquent recevoir des appels de clients finaux furieux, comme l’a notamment relevé Kevin Beaumont. La continuité évoquée de plus en plus fréquemment entre sécurités physique et logique prend ici une dimension bien concrète.

Le site espagnol Derechodelared, a commencé à recevoir des alertes le 27 novembre peu avant 6 h, et évoqué Prosegur dès 10 h. À midi, il indiquait que l’ensemble du réseau était tombé, dans tous les pays où est présent le groupe. En fin d’après-midi, il faisait état de sources fiables assurant que le réseau avait été effectivement coupé à 4 h. Mais Prosegur n’a commencé à communiquer sur Twitter qu’un peu avant midi et demi. Et à l’heure où sont publiées ces lignes, le groupe n’a pas actualisé sa communication depuis le 28 novembre. Son site Web n’apparaît toujours pas pleinement joignable.

Cette compromission par ransomware ne fait que s’ajouter à une longue série en Europe depuis la fin de l’été. Dans la péninsule ibérique, le MSSP Everis a été touché, de même que la radio SER. En France, ce fut tout récemment le cas de M6, du CHU de Rouen, d’Edenred, ou encore de l’Université de Brest. Et c’est bien sûr sans compter les nombreux cas outre-Atlantique, dont notamment le pétrolier mexicain Pemex.

De l’avis de nombreux experts, la situation apparaît particulièrement délicate, avec des incidents bien plus nombreux que ce qu’il n’émerge publiquement. Pour Félix Aimé, analyste chez Kasperky, c’est bien simple, en ce moment, « ça pète de partout ».