Cyberattaque : Toshiba France réfute tout vol de données par Darkside

C’est dans un communiqué adressé à la rédaction ce vendredi 14 mai au matin que Toshiba TFIS France vient de reconnaître avoir été victime d’une cyberattaque ayant conduit au déploiement du rançongiciel Darkside : « elle a subi, dans la nuit du 4 mai, un acte de piratage par le ransomware “Darkside” ayant déjà attaqué de nombreuses entreprises de toute taille ».

Dans son communiqué, l’entreprise assure avoir « su réagir dans les quelques heures qui ont suivi l’attaque afin d’analyser la situation et de mettre en place des contre-mesures. Une équipe dédiée a été mobilisée immédiatement ». Selon Toshiba TFIS, « grâce aux solutions préventives de sécurité déjà en place, les données vierges de tout virus ont pu être récupérées et la quantité de travail perdue a été très minime. Des experts externes en cybersécurité ont également été déployés afin d’accompagner l’entreprise dans sa démarche ». Et l’entreprise d’assurer que, « à ce jour, toutes les applications sont opérationnelles ». En outre, Toshiba TIFS assure qu’« aucune fuite de données n’a été détectée ».

Cette dernière affirmation est pour le moins troublante, compte tenu du mode opératoire généralement associé aux cyberattaques impliquant le ransomware Darkside : celui-ci est associé à la pratique de la double, voire triple extorsion, avec vol de données avant chiffrement, et parfois déni de service distribué (DDoS) à la suite.

Surtout, la veille de l’envoi de ce communiqué, les opérateurs de Darkside ont revendiqué, sur leur site caché, l’attaque contre Toshiba en France, assurant avoir dérobé plus de 740 Go de données au passage, relatives à « la direction, les ventes indirectes, les projets, nouvelles affaires, ressources humaines, etc. ». Nous avons obtenu une copie de la page en question où l’on peut voir une photo de visa et une autre de passeport. Nous les avons cachées dans la capture ci à côté.

Surprise, Toshiba TFIS ne semble pas avoir vu, à ce stade, de trace de l’exfiltration manifestement conduite par les attaquants : « suite à la cyberattaque par le ransomware Darkside, nous précisons et confirmons qu’à ce jour l’outil de surveillance et d’audit ne fait pas état d’une fuite de données. Il est cependant à noter que nous nous attachons à rechercher toute trace qui irait dans ce sens à l’aide d’outils rompus à ce type d’exercice ». 

Pour étayer son propos, l’entreprise précise que « pour mémoire, l’attaque a débuté le 4 mai à 22h54 et le blocage du compte piraté a été effectué dans les 10 heures qui ont suivi. Il nous semble donc peu probable que dans ce laps de temps une telle quantité de données ait pu être extraite ». Mais cela semble hélas négliger toutes les étapes de l’attaque précédant le déclenchement du chiffrement.

Toshiba TFIS reconnaît toutefois que les investigations ne sont pas terminées : « notre cellule de crise poursuit quant à elle ses investigations pour tenter de faire toute la lumière notamment sur le “patient n°1” à l’origine de cette attaque ». Le vecteur d’intrusion n’est d’ailleurs pour l’heure pas identifié : « nous n’avons aucune certitude le concernant. En revanche, nous pouvons établir qu’il y a bien eu compromission d’un de nos comptes utilisateur de l’Active Directory ».