Ransomware : Bouygues Construction, une cible (trop) facile ?

Bouygues Construction se démène contre le ransomware Maze depuis la fin de la semaine dernière. Dans un laconique communiqué de presse, le groupe reconnaît la situation, expliquant que « par mesure de précaution, les systèmes d’information ont été coupés afin de prévenir toute propagation », et en assurant que « les installations sont progressivement remises en service après avoir été testées ».

Mais pas un mot sur la rançon demandée, ni sur les données éventuellement dérobées, et encore moins sur l'étendue des dégâts. Et pourtant, en parallèle, les cyber-délinquants à la manœuvre ont rendu publique une liste d’adresses IP et de noms de systèmes verrouillés par leurs soins – près de 240 hôtes à travers le monde –, et proposent au téléchargement une première archive d’un peu moins de 2 Go de données – une toute petite fraction du total présent sur les systèmes bloqués par les assaillants, selon ces derniers.

Pour mémoire, les opérateurs de Maze s’inscrivent dans cette tendance croissante consistant d’une part à bloquer des systèmes par chiffrement, et d’autre part à menacer de divulguer des données y ayant été dérobées. De quoi augmenter le potentiel de monétisation des attaques, notamment auprès d'entreprises concernées par le règlement européen de protection des données (RGPD). Outre Maze, l’approche semble avoir été adoptée pour Revil/Sodinokibi, Nemty, ou plus récemment DoppelPaymer.

En fin d’année dernière, Proofpoint, SentinelOne et Cisco expliquaient que Maze n’était déployé qu’en seconde, voire troisième phase, d’attaques. Celles-ci commençant par la distribution d’un document piégé, embarquant un composant permettant d’accéder à distance au système compromis, grâce à CobaltStrike, et, ainsi, d’explorer l’environnement, et s’y déplacer à l’aide d’outil offensifs complémentaires. L’utilisation de Powershell pour exfiltrer des données a également été observée.

Selon nos informations, l’enquête en cours chez Bouygues Construction aurait déjà fait émerger des traces laissant entrevoir une attaque lancée une dizaine de jours avant la détonation. Sans trop de surprise dans le contexte d'un incident de rançongiciel sophistiqué, la confiance dans l’environnement Active Directory aurait été totalement perdue. La qualité et la disponibilité de sauvegardes n'auraient pas encore été établies. 

Et puis divers éléments interrogent sur la posture de sécurité du groupe avant l'incident. Pour ne prendre qu'un exemple, si Bouygues Construction a arrêté certains systèmes et services, il a notamment laissé accessible en ligne un portail fournisseurs sur lequel HTTPS n’a pas été mis en œuvre, malgré la présence de mécanismes de création de comptes et d’authentification – en clair, donc. Et ce portail n'apparaît pas laissé à l'abandon : on y trouve des publications remontant à l'automne dernier. Le portail de dépôt de factures est quant à lui inaccessible pour le moment.

Pourtant, le groupe n’en est pas à son premier épisode de ransomware. Dans son rapport sur cette menace pour l’année écoulée, l’Agence nationale de la sécurité des systèmes d’information (Anssi), évoque ainsi l’infection par Ryuk, au printemps 2019, du réseau d’une filiale canadienne de Bouygues Construction. Une attaque dont toutes les leçons n’ont peut-être pas été tirées.

Joint par téléphone, le service de presse de Bouygues Construction s’est refusé à tout commentaire et nous a renvoyé à son communiqué du 31 janvier.