Ransomware : l’heure de la reprise approche chez Bouygues Construction

Bouygues Construction assurait, il y a plus d’une semaine, d’une remise en route progressive des fonctionnalités de son système d’information, après l’attaque du ransomware Maze qui l’a frappé à la fin du mois de janvier. Au travers de deux communiqués de presse sur l’incident, à l’heure où sont publiées ces lignes, le groupe est apparu minimiser la situation, voire se murer dans le silence – nos sollicitations sont à ce stade restées sans effet. Et la reprise ne semble arriver que maintenant, avec la remise en route de la messagerie électronique.

Celles de Bouygues Construction et de sa filiale Axione, apparaissait encore indisponibles ce jeudi 13 février. Car hier encore, les e-mails adressés à des boîtes de messagerie du groupe se soldaient toujours par la même réponse automatique : « En raison d’un incident informatique, la remise de votre message sera retardée et pourra prendre jusqu’à quelques jours. Privilégiez un autre moyen pour nous contacter en cas d’urgence. Toutes nos excuses pour la gêne occasionnée ». Depuis ce matin, ce n’est plus le cas. Et aucun message d’erreur ne vient indiquer un échec de délivrance.

Selon nos sources, la semaine passée a été consacrée notamment à un long travail de reconstruction de l’infrastructure Active Directory, en profondeur. Et celle-ci semble s’être faite avec la suppression de comptes utilisateurs n’ayant plus raison d’être : par exemple, des adresses e-mail sur lesquelles il était encore possible d’envoyer des messages il y a 48 h, répondent désormais aux abonnés absents. De quoi interroger sur la gestion du cycle de vie des identités au sein du groupe, préalablement à l’attaque. Mais cela n’aurait malheureusement rien d’exceptionnel ni d’isolé.

Pour autant, le retour à la normale pourrait encore prendre du temps. Toujours selon nos sources, Bouygues Construction ne disposait pas de sauvegardes hors ligne. Et l’analyse des sauvegardes disponibles ne serait guère encourageante : celles remontant au mois de décembre seraient corrompues, inexploitables, et les doutes seraient loin d’être levés pour celles remontant à novembre. Ce qui ne serait, encore une fois, pas franchement exceptionnel.

Vu de l’extérieur, de nombreux services exposés encore courant janvier, qu’il s’agisse de sites Web, d’accès distant ou encore de téléphonie sur IP, et hébergés chez Bouygues Telecom, restent toujours indisponibles, selon les données de Binary Edge et d’Onyphe. À l’inverse, les sous-domaines hébergés chez OVH en France, ou Amazon en Irlande, abritent des sites Web toujours actifs – et qui n’apparaissent pas avoir été arrêtés un instant. Cela commence d’ailleurs par le portail fournisseurs du groupe désormais passé en HTTPS.

Dans son malheur, le groupe apparaît toutefois pouvoir compter sur une forte mobilisation de ses partenaires et fournisseurs IT. Et à ce stade, Bouygues Construction semble faire la sourde oreille aux demandes de rançon des cyberdélinquants aux manettes derrière Maze, le groupe TA2101. Ceux-ci ont mis en ligne deux nouvelles archives de documents dérobés, durant le week-end dernier, ajoutant ainsi environ 8 Go de données à un premier lot. Nos confrères de L’Obs évoquent des documents relatifs aux « activités du groupe de BTP en Australie, sur la construction d’un tunnel autoroutier à Sydney, et en Thaïlande, pour la réalisation de la nouvelle ambassade d’Australie ».

Les cyberdélinquants semblent toutefois bien décidés à poursuivre le bras de fer : ils viennent tout juste, alors que nous publions ces lignes, de rendre accessible, sur leur site Web, une nouvelle archive de fichiers présentés comme dérobés à Bouygues Construction. 

Relevons enfin que la sécurité du système d’information du groupe Bouygues – en dehors de l’opérateur mobile – est supervisée par les outils de Darktrace. Marc Cierpisz, directeur de la sécurité des systèmes d’information de C2S Bouygues jusqu’au début 2019, nous en expliquait le choix début novembre 2018. Il estimait alors bénéficier de « gains de temps considérables profitant aux activités d’analyse, grâce à la réduction du taux de faux positifs traditionnels des SIEM ». Et cela, donc, pour superviser plusieurs milliers d’hôtes (postes de travail et serveurs) du groupe Bouygues – hors l’opérateur télécom maison – avec un SOC comptant cinq personnes. Contacté par la rédaction, le service de presse de Darktrace confirme que le groupe de BTP figure toujours parmi ses clients.