Cyberattaque : pour la Croix-Rouge, ce n'est pas un ransomware

[Mise à jour, 20/01/2022 @17h35] Le communiqué initial du comité international de la Croix-Rouge (CICR) évoquait une attaque l’ayant touché, mais ayant visé un tiers, un prestataire d’hébergement. Interrogé sur ce point, le service de presse a contredit cette affirmation initiale : « il s’agissait d’une attaque directe et ciblée sur nos serveurs, et non sur la société d’hébergement. Par ailleurs, nous sommes satisfaits de nos sous-traitants et fournisseurs. Nous entretenons une relation commerciale de longue date avec eux, car ils appliquent les mêmes standards et la même rigueur que ce que nous faisons en interne. En revanche, nous ne sommes pas en mesure de divulguer d’information relative à nos prestataires pour ces services ».

[Mise à jour, 20/01/2022 @17h15] Le service de presse de la Croix-Rouge a répondu à notre sollicitation. Nous livrons ici, in extenso, nos questions, transmises par écrit, et les réponses qui leur ont été apportées, par écrit également.

LeMagIT : quelle est la nature de la cyberattaque ?

Le piratage a compromis les données personnelles telles que les noms, les lieux et les coordonnées de plus de 515 000 personnes, notamment des personnes portées disparues et leurs familles, des enfants non accompagnés ou séparés, des détenus et d’autres personnes recevant des services du Mouvement de la Croix-Rouge et du Croissant-Rouge. Les informations de connexion d’environ 2 000 employés et bénévoles de la Croix-Rouge et du Croissant-Rouge qui travaillent sur ces programmes ont également été compromises.

LeMagIT : la cyberattaque implique-t-elle un ransomware et, si oui, lequel ?

Il n’y a pas eu à ce jour de demande de rançon et aucune donnée n’a été perdue. Cela dit, il semble probable que des dossiers aient été exfiltrés, même si nous ne pouvons pas l’affirmer avec certitude. Des enquêtes sont en cours pour déterminer comment, ou si, ces données ont été utilisées et quelle est l’intention derrière cette cyberattaque. Nous savons seulement qu’ils ont pénétré dans notre système et ont eu accès à ces données, et que c’est l’œuvre de hackers très aguerris.  

LeMagIT : avez-vous déjà une idée du vecteur d’intrusion ?

Nous en sommes aux premiers stades de l’analyse et si nous pouvons dire qu’il ne s’agissait pas d’une attaque par ransomware, nous ne sommes pas en mesure de partager ce niveau de détails techniques sur les mécanismes de la cyberattaque à ce stade.

LeMagIT : votre organisation exposait encore, le 12 janvier, un serveur Zoho ManageEngine affecté par la vulnérabilité CVE-2021-40539. Cette vulnérabilité est connue pour avoir été exploitée dans des attaques impliquant un ransomware. Est-ce donc le cas ici ?

Nous sommes depuis longtemps conscients du danger que nos données puissent un jour être la cible d’une attaque. Nous avons investi massivement dans la cybersécurité et travaillons avec des partenaires de confiance pour maintenir des normes élevées de protection des données et des systèmes. Nous avons également investi dans des systèmes pour nous aider à détecter toute activité suspecte, c’est ainsi que nous avons appris l’existence de cette cyberattaque.

[Article original, 20/01/2022 @13h30] Dans un communiqué de presse publié ce mercredi 19 janvier 2022, le comité international de la Croix-Rouge s’est déclaré victime d’une « cyberattaque sophistiquée contre des serveurs informatiques hébergeant des informations » lui appartenant.

Selon ce communiqué, l’attaque a conduit à la compromission des « données personnelles et d’informations confidentielles sur plus de 515 000 personnes hautement vulnérables, dont celles séparées de leurs familles en raison de conflits, de migrations et de catastrophes, des personnes disparues et leurs familles, et des personnes en détention ». Toujours selon ce communiqué, « les données provenaient d’au moins 60 branches nationales de la Croix-Rouge et du Croissant-Rouge à travers le monde ».

Pour Robert Mardini, directeur général du comité international de la Croix-Rouge, « cette cyberattaque met encore plus en danger des personnes vulnérables, celles qui ont déjà besoin de services d’aide humanitaire ». Et d’implorer pour que ces données ne soient ni partagées, vendues, divulguées ou utilisées de quelque manière que ce soit.

Aucun détail sur la nature de l’attaque – « détectée cette semaine », selon le communiqué – n’a été précisé. Si un rançongiciel est impliqué, la famille correspondante n’a pas été mentionnée.

Et justement, l’utilisation d’un ransomware, dans cette attaque, n’est pas à exclure, même si des motivations autres que financières sont envisageables.

Selon les données du moteur de recherche spécialisé Onyphe, le comité international de la Croix-Rouge exposait encore, le 12 janvier, un serveur Zoho ManageEngine affecté par la vulnérabilité CVE-2021-40539.

Cette vulnérabilité touche plus précisément l’application Java ADSelfService Plus. Son exploitation par des cyberdélinquants est connue depuis le 8 septembre 2021. Elle permet de contourner les mécanismes d’authentification. Un correctif est disponible depuis plusieurs mois.

Le 16 septembre 2021, la CISA américaine a alerté sur l’exploitation de cette vulnérabilité par des attaquants soutenus par des États-nations.

Début novembre, la division 42 de Palo Alto Networks et Microsoft ont alerté sur des attaques en cours. Tous deux se sont en particulier penchés sur une campagne conduite par un acteur désigné par les équipes de Microsoft sous la référence DEV-0322, « un groupe opérant depuis la Chine, selon l’infrastructure observée, la victimologie, les tactiques et les procédures ».

La rédaction a signalé l’hôte concerné – qui n’est pas accessible en ligne à ce jour – au comité international de la Croix-Rouge et sollicité des compléments d’information. Nous mettrons à jour cet article si et lorsque ceux-ci nous parviendront.