Ransomware : l’attaque peut être maîtrisée sans que la situation soit sous contrôle

Le 14 mars, la métropole Aix-Marseille-Provence reconnaissait une cyberattaque « massive et généralisée » par un ransomware, tout en prenant soin de revendiquer des « précautions extrêmes prises au quotidien pour protéger les équipements informatiques et se prémunir des virus et du piratage ».

Quelques jours plus tard, l’Agence nationale pour la sécurité des systèmes d’information (Anssi) publiera un rapport sur le rançongiciel impliqué, Mespinoza/Pysa, ainsi que le mode opératoire des assaillants. De quoi laisser entrevoir des éléments somme toute assez classiques des attaques actuelles par ransomware, et jeter par là même une lumière relativement crue sur les affirmations de la collectivité territoriale.

Pendant des mois, il a pu être tentant de penser que l’orage était passé. Mais ce 28 août, les cybertruands aux commandes de Pysa sortaient de leur torpeur et publiaient un message à l’intention de leur victime, dans un anglais imparfait : « chers vieux amis. Charmante province du sud de la côte française. Notre coopération a été très longue et productive. Et ceci était la raison pour nous en dire plus de nos camarades ». Le message est assorti des liens vers deux archives initialement hébergées chez Mega, pour un total de près de 20 Go de données.

Le service de transfert et partage de fichier a depuis désactivé les liens menant à ces fichiers. Lorsqu’ils étaient encore accessibles, ils laissaient entrevoir un mélange de données RH, comptables, mais aussi de données de santé des agents en lien avec la pandémie de Covid-19. Ces données semblent avoir été ajoutées à Mega en deux temps : le 23 mars pour le premier lot, et les 19 et 20 avril pour un second.

De quoi s’interroger sur d’éventuelles discussions avec les assaillants, ne serait-ce que pour gagner du temps et éviter une divulgation trop rapide des données. Mais aucun des fichiers dérobés ne semble postérieur à la mi-mars. Ce qui laisse à penser que l’attaque a été rapidement et efficacement contenue, sans laisser ouverte de porte d’entrée pour les assaillants.

Le cas de la métropole Aix-Marseille-Provence n’est pas isolé. La communauté d’agglomération Ardenne Métropole et la ville de Charleville-Mézières ont été touchées par un ransomware début mars. Là, les cyberdélinquants aux commandes de DoppelPaymer ont attendu la fin juin pour finalement divulguer les données dérobées. Avec des victimes telles que l’Afpa, Roger Martin ou encore Bretagne Télécom, les mêmes assaillants étaient allés beaucoup plus vite.

Tout n’est donc peut-être pas fini pour d’autres victimes dont aucune donnée n’a jusqu’ici été divulguée, à l’instar, par exemple, du département d’Eure-et-Loir ou du groupe SPIE, pour lequel les opérateurs de Nefilim n’ont pour l’heure que commencé leur habituel feuilleton.