Ransomware Maze : Bouygues Construction a-t-il cédé au chantage ?

[mise à jour @14h30 04/03/2020] Les opérateurs de Maze mentionnent à nouveau Bouygues Construction parmi leurs victimes. L'adresse de la page consacrée au groupe n'est pas la même qu'initialement, mais le contenu apparaît identique. Chez Emsisoft, Breff Callow égraine quelques questions que ce retour soulève : « une erreur de Maze ? Ils en ont fait quelques-unes sur le site Web. Ou bien les données ont été retirées durant des négociations qui ont en définitive échoué ? A moins que ce ne soit qu’un jeu de Maze ? »

[mise à jour @16h 09/03/2020] Durant le week-end, les opérateurs de Maze ont mis en téléchargement trois nouvelles archives de documents toujours selon eux dérobés à Bouygues Construction. 

Mi-février, l’heure de la reprise semblait approcher chez Bouygues Construction. Le groupe, qui avait été attaqué par le rançongiciel Maze fin janvier, apparaissait alors relancer déjà sa messagerie électronique, non sans avoir procédé à un travail de nettoyage de ses annuaires.

Parallèlement, Bouygues Construction a semblé faire la sourde oreille aux demandes de rançon des cyberdélinquants aux manettes derrière Maze, le groupe TA2101. Ceux-ci ont graduellement mis en ligne plusieurs archives de documents dérobés. Mi-février, nos confrères de L’Obs ont ainsi évoqué des documents relatifs aux « activités du groupe de BTP en Australie, sur la construction d’un tunnel autoroutier à Sydney, et en Thaïlande, pour la réalisation de la nouvelle ambassade d’Australie ». Une semaine plus tard, chez ZDNet, notre confrère Louis Adam faisait état de quatre archives de documents apparemment issus de « Bouygues Construction et ses filiales ». En somme, du côté des assaillants, il semblait hors de question d’abandonner le bras de fer.

Mais voilà, surprise, dans le courant de ce week-end de fin février/début mars, les cyberdélinquants n’ont pas diffusé de nouvelle archive. En fait, ils ont même supprimé toute référence à Bouygues Construction sur leur site Web et son miroir. La page qu’ils consacraient au groupe a purement et simplement disparu, et son URL renvoie une erreur 404 indiquant que la page à l’adresse indiquée n’existe plus.

« L’explication la plus probable du retrait du nom d’une entreprise du site de Maze est qu’elle a payé une rançon. »

Pour Brett Callow, analyste chez Emsisoft, « l’explication la plus probable du retrait du nom d’une entreprise du site de Maze est qu’elle a payé une rançon. Bien sûr, cela ne revient à payer que pour une promesse que les cyberdélinquants effaceront leur copie des données. Mais pourquoi une entreprise mafieuse effacerait-elle des données qu’elle pourrait monétiser à nouveau ? »

Dans le cas présent, les liens menant à certaines archives précédemment mises à disposition sur leur site Web par les opérateurs de Maze sont toujours actifs à l’heure où nous publions ces lignes. Autrement dit, quelqu’un disposant de ces liens, ou d’une copie en cache de la page Web que les cyberdélinquants consacraient à Bouygues Construction, peut techniquement toujours télécharger – voire redistribuer ensuite – lesdites archives, et donc leur contenu.

Nous avons adressé un e-mail au service de relations publiques de Bouygues Construction tôt ce lundi 2 mars au matin, demandant si le groupe avait effectivement cédé aux demandes de ses assaillants et si oui pour quel montant. À l’heure où nous publions ces lignes, le service concerné a bien accusé réception de notre demande et de nos appels répétés, mais sans apporter de réponse à nos questions. Nous ne manquerons pas de mettre à jour cet article si des réponses nous sont adressées. [Mise à jour @18h30 02/03/2020 : un porte-parole de Bouygues Construction a joint la rédaction par téléphone. Il indique que le groupe ne souhaite pas apporter de commentaire à ce stade]

S’exprimant jeudi 20 février sur l’attaque, à l’occasion de la présentation des résultats de son groupe, Martin Bouygues l’assurait : « on ne peut pas dire, a priori, que l’on ait été négligent sur les besoins de protection ». Et d’affirmer que le groupe avait été « attaqué par quelque chose de nouveau, par un virus d’un nouveau genre ».

Pour un avocat fin connaisseur des obligations en matière de communication financière, le PDG semblait là chercher surtout à rassurer les investisseurs et analystes, car « ce que sanctionnent les marchés, ce n’est pas tant l’aléa ou de mauvais résultats, que l’impréparation et des procédures inadaptées pour faire face ». Mais compte tenu de l’étendue des questions qui peuvent aujourd’hui être posées, cela suffira-t-il ?

S’appuyant sur le nombre de soumissions d’échantillons sur le service d’identification de rançongiciels ID Ransomware, Emsisoft estimait, début février, que ces maliciels ont coûté un peu plus de 485 M$ en France en 2019 – pour les seules rançons. Depuis l’Hexagone, l’an dernier, plus de 8 700 échantillons ont été déposés à des fins d’identification. En tenant compte de l’interruption de l’activité, Emsisoft aboutissait à une estimation du coût de ces attaques pour les organisations françaises, de près de 3,3 Md$.