Face à un risque « élevé » de cyberattaque, Air France-KLM joue la précaution

Branle-bas de combat au sein des équipes IT du groupe Air France-KLM. Les deux compagnies aériennes du groupe ont adressé ce matin à leurs effectifs une invitation « à changer votre mot de passe AD (Windows/Workstation), dans les 24 h, car AFKL a été informé d’un risque élevé de cyberattaque. L’IT d’AFKL lutte pour empêcher les attaquants d’entrer, mais nous avons aussi besoin d’aide », indique l’e-mail, en néerlandais, dont nous avons pu consulter une copie. Et de demander à procéder au changement de mot de passe « le plus vite possible ».

Nous avons adressé des questions au service de presse de KLM – chez qui la situation semble avoir trouvé son origine – afin de savoir si une notification externe avait déclenché ce processus, ou s’il y avait eu détection d’une menace présente en interne sur le système d’information. Nous avons également sollicité par téléphone le service de relations presse du groupe, où un porte-parole nous a indiqué « ne pas avoir suivi ce sujet » et promis de nous rappeler, sans nier la situation. Au moment de publier ces lignes, nous n’avons pas reçu de réponse. Nous ne manquerons pas de mettre à jour cet article lorsqu’elles nous parviendront.

Selon toute vraisemblance, les équipes de KLM pourraient avoir intercepté à temps une attaque du type de celles qui sont susceptibles de conduire au déploiement d’un ransomware tel que Ryuk : la réinitialisation massive des mots de passe demandée aux utilisateurs trahit la crainte de compromissions de comptes potentiellement non identifiées, liées à des activités de déplacement latéral et d’élévation de privilèges.

Comme l’avaient expliqué, dans nos colonnes, en septembre, des experts d’Advens, I-Tracing, et Intrinsec, ce type d’attaque peut être intercepté à différentes occasions, même si les assaillants parviennent à passer les premières couches de protection.

Ryuk s’est rappelé en fanfare à l’attention de tous avec l’attaque contre Sopra Steria, mais ses activités ne s’y sont pas limitées. L’Agence nationale pour la sécurité des systèmes d’information (Anssi) a ainsi récemment publié un rapport très complet sur ce ransomware et le déroulé d’attaque associé.

Celui-ci commence par Emotet, avant d’impliquer Trickbot ou plutôt BazarLoader, depuis la mi-septembre. Cobalt Strike apparaît ensuite, aux côtés d’outils tels qu’Empire, BloodHound, Mimikatz et Lazagne, en phase de déplacement latéral et d’élévation de privilèges, jusqu’à la prise d’un contrôleur de domaine. Les marqueurs techniques fournis avec le rapport de l’Anssi renvoient à certains connus pour être liés à l’attaque contre Sopra Steria, mais d’autres étaient inédits à la parution.