Carlson Wagonlit Travel confirme une cyberattaque

Un échantillon du ransomware Ragnar Locker a été téléversé, ce 27 juillet au matin, sur VirusTotal. JamesWT, de l’équipe Malware Hunter Team, l’a repéré. Selon la note de demande de rançon, cet échantillon a dû être trouvé dans le système d’information de Carlson Wagonlit Travel (CWT).

Contacté par la rédaction, le spécialiste de la gestion des voyages d’affaires et de loisirs, reconnaît avoir « fait l’expérience d’un cyber-incident durant le week-end », mais sans parler de rançongiciel. Et d’ajouter pouvoir « confirmer que, après avoir temporairement arrêté nos systèmes par précaution », ceux-ci « sont de nouveaux en ligne et l’incident a cessé ».

Le porte-parole de CWT précise qu’une enquête a été lancée mais qu’elle n’en est qu’à ses débuts. A ce stade, selon lui, rien n’indique que « des informations personnellement identifiables de clients et de voyageurs aient été compromises ». Ce porte-parole indique en outre que clients et fournisseurs ont été informés « comme il convient », de même que les autorités concernées.

Dans la note de demande de rançon publiée par le chercheur JamesWT, les opérateurs de Ragnar Locker affirment disposer « d’informations de facturation, de cas d’assurance, de rapports financiers, d’audits, de comptes en banques » et même correspondances. Mais ils évoquent aussi des données touchant à des clients de CWT, citant Axa, Abbot Laboratories, AIG, Amazon, Boston Scientific, Facebook, J&J, Sonoco, ou encore Estée Lauder.

Mais comment expliquer un rétablissement si rapide des systèmes alors même que l’enquête qui permettrait d’établir l’étendue réelle de la compromission est, selon les termes mêmes de CWT, « en cours », et même « à ses débuts » ? Le chercheur indépendant JamesWT pense avoir la réponse : selon les éléments dont il dispose, une rançon de 4,5 M$ a été versée dès le 28 juillet. Et de publier l’extrait d’un porte-monnaie Bitcoin pour étayer son propos.

Mais pas question, pour CWT, de confirmer ou d’infirmer ces allégations. Interrogé sur le sujet par la rédaction, le porte-parole de Carlson Wagonlit Travel a simplement répondu : « nous ne sommes pas en position de comment sur le moindre détail de cet incident à ce moment ».