En avril 2021, REvil voulait soutirer « quelques millions d'euros » à In Extenso

[Mise à jour le 30 décembre 2022 @ 14h15] Dans un entretien accordé à nos confrères de La Manche Libre, Jean-Max Yver, président régional d'In Extenso en Normandie, rappelle que le cabinet d'expert-comptable avait été, au printemps 2021, victime d'une cyberattaque conduite par un membre du groupe REvil, avec le ransomware Sodinokibi. Stéphane Jullien, DSI d'In Extenso l'avait déjà révélé fin 2021.

Une rançon de « quelques millions d'euros » avait été demandée, révèle Jean-Max Yver, mais « on ne voulait surtout pas payer », souligne-t-il. Jean-Max Yver précise que les assaillants « ont surtout touché la partie comptable, mais le logiciel de paye, lui, n'a pas été atteint ». Selon lui, les données affectées ont pu être restaurées à partir des sauvegardes. Mais pas un mot sur un éventuel vol de données. Trois jours après la découverte de la cyberattaque, la directrice de la communication d'In Extenso avait assuré à la rédaction qu'aucune fuite de données n'avait été constatée. 

Le groupe REvil est connu pour avoir pratiqué la double extorsion, bloquant d'une part l'accès à des données et systèmes en les chiffrant, et menaçant d'autre part de divulguer publiquement, voire de vendre à des tiers, des données volées avant le déclenchement du chiffrement. L'attaque contre In Extenso n'a pas, à notre connaissance, été revendiquée sur le site vitrine opéré jusqu'à la mi-juillet 2021 par REvil. Celle conduite contre Ellior, en juin 2020, n'avait pas non plus été revendiquée. Le groupe affirmait toutefois qu'aucune rançon n'avait été payée. 

Rien ne permet d'affirmer que REvil mettait systématiquement à l'index, sur son site vitrine, toutes ses victimes refusant de céder au chantage : une liste trop longue constitue un aveu d'échec. Et justement, la multiplication des revendications, les unes après les autres, au printemps 2021, a donné l'image d'un gang en perte de vitesse. 

[Mise à jour le 14 avril 2021 @ 18h50] Dans un e-mail adressé à la rédaction, la directrice de la communication d’In Extenso confirme que l’entreprise a subi une cyberattaque conduite avec un ransomware. Et de préciser qu’aucune fuite de données n’a été constatée. Elle explique que, « par mesure de sécurité, et afin de limiter la propagation du virus, le serveur et les applications d’In Extenso ont été immédiatement mis à l’arrêt par notre Direction des Systèmes d’Information et des experts en cybersécurité ». Elle ajoute que « l’ensemble de nos collaborateurs, clients et partenaires a été informé de la situation » et qu’une hotline dédiée a été mise en place pour répondre à leurs éventuelles questions.

La directrice de la communication d’In Extenso assure en outre que « grâce à la mobilisation de nos équipes informatiques, le redémarrage de nos applications a déjà commencé », mais précise toutefois ne pas être en mesure, à ce stade de préciser de date de rétablissement de l’ensemble des outils de l’entreprise. 

[Article original] Pas un mot sur son site Web ni sur les réseaux sociaux, mais In Extenso vient bien de faire l’objet d’une cyberattaque. Nous en avons eu confirmation auprès de l’une de ses 250 agences en France, car le siège ne répond pas. Ses lignes de téléphonie sur IP sont tombées à l’occasion de l’attaque. Et cela vaut également pour certaines agences.

L’incident est survenu dans la nuit du samedi au dimanche 11 avril. Depuis certains services Web sont inaccessibles, de même que les services de bureau à distance. L’agence que nous avons contactée nous a indiqué être également privée d’informatique.

In Extenso revendique 100 000 clients TPE et PME. Sur son site Web, elle indique s’adresser aux artisans, commerçants, professions libérables, ou encore associations. Le groupe explique proposer « un service professionnel complet, à tous les stades de la vie de l’entreprise », et sur des domaines étendus : « compatibilité, fiscalité, gestion, juridique, conseil social et paies, gestion du patrimoine du dirigeant, conseil en innovation-croissance, transmission d’entreprise ».

Cette cyberattaque survient alors que la délégation aux entreprises du Sénat organise ce 15 avril à 9h une table ronde sur la cybersécurité des ETI-PME-TPE, avec notamment Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi), et Jérôme Notin, directeur général du GIP Acyma (cybermalveillance.gouv.fr).

Le début de ce mois d’avril s’est montré particulièrement douloureux en France, sur le front des cyberattaques. Nous en comptons déjà 9, dont, tout récemment, les communes d’Élancourt, Douai, Isle-sur-la-Sorgue, et Morières-lès-Avignon, ainsi que l’hôpital de Saint-Gaudens. Dans le monde entier, nous comptons déjà plus de 85 attaques de rançongiciel, contre 230 au mois de mars.

Nous avons sollicité In Extenso pour obtenir plus d’informations sur la cyberattaque dont il est victime. Nous ne manquerons pas de mettre à jour cet article lorsqu’elles nous parviendront.