Paris Habitat : une paralysie informatique due à un ransomware

Nos confrères de Zdnet le révélaient il y a une semaine : le bailleur social Paris Habitat est affecté par ce qu’il qualifie, dans sa communication officielle, « d’incident informatique majeur ». Et de préciser que « le site Internet ainsi que la messagerie mail ne sont pas accessibles pour le moment ». Interrogé par téléphone au sujet de ce qui porte de plus en plus solidement la marque d’une cyberattaque, un porte-parole a répondu, avec un sourire perceptible dans la voix : « euh, ce qu’on appelle encore incident informatique ».

Mais dans le contexte actuel des menaces informatiques, il est plus que tentant d’établir le lien entre arrêt de la messagerie électronique et de services en ligne portés par des systèmes Windows, et la lourde phase de reconstruction, touchant notamment l’environnement Active Directory. Là, le porte-parole concède bien qu’une profonde reconstruction a été engagée… et glisse même que l’Agence nationale pour la sécurité des systèmes d’information (Anssi) est embarquée dans l’aventure. La téléphonie est aujourd’hui rétablie. 

Avant de joindre ce porte-parole de Paris Habitat, nous avons brièvement échangé avec un autre et demandé où en est la gestion de la cyberattaque : « c’est toujours en cours de résolution […] Le sujet est maîtrisé ». Ici, donc, le terme « cyberattaque » apparaît moins tabou. Alors nous avons demandé sans ambages : « vous avez identifié ce que c’est comme ransomware ». Réponse cette fois-ci embarrassée : « euh moi, j’ai pas… euh… je ne voudrais pas vous dire de bêtise ». Et de nous rediriger vers notre autre interlocuteur, sans pour autant nier l’implication d’un rançongiciel.

Nous avons adressé à ce dernier une demande écrite de précisions, dans la foulée de l’échange téléphonique : vecteur d’intrusion, nombre de postes de travail et de serveurs chiffrés, ou encore nombre de locataires, mais aussi de fournisseurs et partenaires, dont des données personnelles ont pu être affectées à l’occasion de cette attaque informatique. Nous ne manquerons pas de mettre à jour cet article lorsque ses réponses nous parviendront.

De notre côté, les données de moteurs de recherche spécialisés tels qu’Onyphe et Shodan n’ont pas, à ce stade, permis d’identifier d’équipement exposé sur Internet clairement susceptible d’avoir servi de point d’entrée. De nombreux éléments suggèrent une importante infrastructure Citrix, y compris pour la virtualisation de poste de travail et l’accès distant via simple navigateur HTML5, mais rien d’ouvertement affecté par une vulnérabilité.

Cependant nous avons observé quelques adresses e-mail du domaine parishabitat.fr affectées par de récentes brèches de données. Les comptes utilisateurs correspondants pourraient avoir été détournés en s’appuyant sur ces fuites, en cas de réutilisation de mot de passe et sans authentification forte.

[précision le 17 novembre 2020] Nos confrères de ZDNet ont obtenu de Paris Habitat la famille du ransomware impliqué : Sodinokibi, du groupe Revil.