Cyberattaque : Manutan aux prises avec le ransomware DoppelPaymer

Tout a commencé la semaine dernière, quand Manutan a commencé à informer, sur son site Web, avoir été victime d’une cyberattaque. Dans la note d’information, on pouvait lire que l’entreprise avait « décidé d’arrêter [ses] systèmes d’information dans l’attente des investigations en cours ». Et d’ajouter que son site Web « n’est pas concerné et fonctionne normalement ». Selon Manutan, ses clients pouvaient alors continuer d’utiliser le site Web pour « y réaliser vos commandes, vos demandes de devis ou d’information. Cependant, nous ne pourrons pas les traiter dans les délais habituels ».

Quelques jours plus tard, Manutan reconnaissait avoir en fait été la cible d’un rançongiciel, « malgré les précautions et les mesures de sécurité mises en œuvre ». L’entreprise a également mis en ligne une série de questions/réponses à l’intention de ses clients.

Dans cette « FAQ », Manutan indique avoir déposé une plainte et « fait des déclarations à la CNIL » ainsi qu’à l’Agence nationale pour la sécurité des systèmes d’information (Anssi). S’il y a eu déclaration à la Commission Nationale Informatique et Liberté, c’est qu’il y a eu atteinte à des données personnelles. Mais cela, la FAQ de Manutan n’en dit rien.

Pour en apprendre un peu plus à ce sujet, il faut se tourner vers le communiqué rédigé à l’intention des investisseurs de Manutan et daté du premier mars : « nos experts ont pu établir une liste de données concernées mises à disposition des parties prenantes, sans pouvoir affirmer la totale exhaustivité de celle-ci à ce stade ». Voilà qui est déjà plus disert.

Mais cela ne représente encore qu’une part limitée de la connaissance réelle de la portée de la cyberattaque dont disposent à ce jour les équipes de Manutan. Pour en savoir plus, il faut se tourner vers un message adressé par l’entreprise à ses clients, par courrier électronique. Une copie nous en a été transmise. Là, c’est clair : « les investigations menées par les experts en cybersécurité que nous avons diligentés font apparaître que les pirates sont parvenus à dérober certaines données de l’entreprise ». Lesquelles ? « Nom, Prénom, adresse professionnelle ; fonction ou rôle dans l’entreprise ; informations relatives à la facturation ; informations bancaires (IBAN) ».

Comme à ses investisseurs, Manutan indique à ses clients que, « selon l’avis de nos experts en cybersécurité, la probabilité pour que ces données aient d’ores et déjà pu être exploitées par les attaquants pour commettre des manœuvres frauduleuses, est extrêmement faible ».

L’entreprise appelle donc ses clients à « redoubler d’attention », « notamment pour la réalisation d’opérations financières ou comptables qui vous demanderaient de procéder à la modification de toute coordonnée bancaire, domiciliation ou autre ». Et d’assurer que « la sécurité en général, et votre sécurité en particulier figurent au premier rang de nos préoccupations ».

Mais voilà, ce 3 mars encore, au téléphone, un conseiller commercial de Manutan nous l’assurait : « non, il n’y a pas eu d’atteinte à des données personnelles ». Et de nous inviter à adresser un courriel à l’adresse créée pour répondre aux questions ne figurant pas dans la FAQ. Ce que nous nous sommes empressés de faire. À l’heure où sont publiées ces lignes, soit plus de 16 heures après l’envoi, et malgré la promesse, au téléphone, de réponses « rapides », notre courriel est encore lettre morte.

Les opérateurs du ransomware DoppelPaymer commencent, de leur côté, à se montrer bavards. Ils viennent de publier, sur leur blog, une page dédiée à Manutan, avec quelques premiers fichiers illustratifs de leur butin. L’éventail n’est pas très étoffé, mais laisse à penser que les assaillants ont bien eu accès à des données de commandes et surtout, de paiement, entre autres.