Cyberattaque : l’Afnor reconnaît être confrontée au ransomware Ryuk

Ironie du calendrier, alors que le Président de la République, Emmanuel Macron, annonçait, ce jeudi 18 février à midi, l’allocation d’un milliard d’euros, dans le cadre du plan de relance, à la cybersécurité, l’Afnor mettait à l’arrêt les services qu’elle expose sur Internet, à commencer par son site Web.

Initialement, et encore cet après-midi, l’association française de normalisation faisait état de « problème technique » en réponse à ceux qui s’interrogeaient sur la situation, sur Twitter. La bibliothèque de l’université d’Angers alertait parallèlement sur l’indisponibilité d’une base de données dépendante de l’Afnor, en indiquant : « suite à une cyberattaque, l’Afnor a dû interrompre ses services ».

Joint par téléphone, à son initiative, un porte-parole de l’association reconnaît bien qu’il s’agit d’une cyberattaque « de grande ampleur » et que celle-ci a conduit à la détonation d’un ransomware : Ryuk. Mais pas de détail, à ce stade, ni sur l’étendue du parc chiffré ni sur la chronologie de l’attaque.

Depuis le début de l’année, Ryuk a été notamment observé à Houilles, au Centre hospitalier de Dax, et à l’hôpital de Villefranche-sur-Saône. Et cela n’aurait rien d’un hasard. Selon nos sources, les opérateurs de Ryuk, Darkside et Revil s’avèrent actuellement particulièrement actifs. Pour le premier, on se souviendra notamment de l’attaque contre Sopra Steria à l’automne dernier.

L’association française de normalisation se prépare en tout à plusieurs semaines de nettoyage en profondeur, avant de pouvoir relancer l’intégralité de ses services. Et l’on peut espérer que ce soit l’occasion de moderniser une infrastructure dont certains éléments exposés sur Internet avant l’attaque étaient pour le moins vieillissants.

L’Afnor n’est malheureusement pas la seule organisation à allonger la liste des victimes de rançongiciels, en France, depuis les annonces du Président de la République. La mairie de Pontault-Combault indique sur son site Web avoir été frappée le mardi 16 février. Elle précise avoir notifié la CNIL de l’attaque. Ce qui laisse à penser qu’elle a eu moins de chance que l’Afnor et a été touchée par un groupe pratiquant la double-extorsion et ayant ainsi dérobé des données.

Notre compte de victimes de ransomware en France s’élève donc déjà à 12 pour le mois de février, et constitue très probablement une sous-estimation de la réalité.

Ces attaques soulignent que le coup porté à Emotet – autrefois fréquemment utilisé pour distribuer Trickbut ou Qakbot avant un déploiement de Ryuk ou d’Egregor – n’a pas fait disparaître la menace. Car Emotet était loin d’être la seule menace touchant à la messagerie électronique. Dans ce contexte, il est toujours aussi important de soigner ses enregistrements DNS, et de mettre en place de quoi détecter, puis bloquer, une éventuelle intrusion. Et de préférence identifier les signes précurseurs avant la détonation d’un Ryuk.