Cyberattaques : BVA et la Mutuelle nationale des hospitaliers allongent la liste

Pas un mot sur le site Web du groupe BVA, mais l’information a été glissée à nos confrères de La Dépêche par un informaticien qui y travaille : « dans la nuit de dimanche à lundi 1^er février, on s’est rendu compte de l’attaque. Tous les fichiers sont cryptés [sic] et les hackers ajoutent une extension de telle sorte que l’on ne puisse plus les ouvrir. Seul un fichier texte apparaît, à côté, indiquant : écrivez-nous pour avoir la clé ». Selon La Dépêche, le chiffrement a affecté « près d’une quarantaine de serveurs et environ 80 postes informatiques du groupe ».

Selon nos confrères, les outils collaboratifs, à commencer par la messagerie électronique, ne sont pas affectés. Et l’on relèvera qu’ils ne semblent pas exploités en interne, mais confiés à Microsoft 365, selon les enregistrements DNS. Gérard Lopez, CEO du groupe BVA, assure à La Dépêche que, après cinq jours, le bout du tunnel serait en vue. En espérant que le travail de nettoyage en profondeur nécessaire soit effectivement réalisé.

Mais du côté de certains clients de BVA, l’humeur n’est pas rose. Quelques-uns nous ont ainsi exprimé un dépit certain, déplorant l’absence de communication à leur intention de la part du groupe. À ce stade, les questions que nous avons adressées au groupe n’ont pas encore reçu de réponses. 

La Mutuelle nationale des hospitaliers et des professionnels de la santé et du social, la MNH, vient quant à elle de reconnaître, sur son site Web, subir « actuellement une cyberattaque depuis vendredi 5 février 2021 ». Et d’indiquer que ses sites Internet et sa plateforme téléphonique « sont temporairement indisponibles ». En outre, « les délais de traitement de vos demandes sont allongés ».

La messagerie électronique de la mutuelle est protégée par Proofpoint, de quoi laisser à penser que l’attaque ne soit pas venue par là. Mais les données du moteur de recherche spécialisé Onyphe font ressortir un système Citrix/Netscaler Gateway qui a été affecté par la vulnérabilité CVE-2019-19781, dite Shitrix, jusqu’au 15 janvier 2020.

Une telle vulnérabilité peut avoir été exploitée pour positionner une tête de pont qui aura été exploitée bien plus tard. L’exemple de Dassault Falcon Jet tend à l’illustrer, du moins si l’on en croit les affirmations des assaillants. En décembre dernier, ceux-ci nous ont indiqué avoir exploité un système qui était encore affecté par la vulnérabilité Shitrix fin mars 2020. Mais ils n’en auraient pleinement tiré profit qu’autour du mois de juin, soit trois mois après avoir établi une tête de pont.