LockBit 2.0 menace de divulguer des données de la Justice française

Le site vitrine de la franchise mafieuse LockBit 2.0 vient d’être enrichi de revendications concernant trois organisations françaises : la ville de Saint-Cloud, Études Services Travaux Parisiens et Matériaux (ESTPM), et le ministère de la Justice.

Pour la première, les faits sont établis : la ville de Saint-Cloud a indiqué, le 24 janvier, avoir été victime d’une cyberattaque dans la nuit du jeudi au vendredi précédents. Pour ESTPM, la situation des systèmes exposés en ligne tend à confirmer la revendication d’une attaque informatique : le signe Web n’est pas accessible ; le serveur VPN SSL SonicWall ne répond pas. Les données du moteur de recherche spécialisé Shodan suggèrent qu’un système d’authentification à facteurs multiples était installé sur cet hôte.

Pour le ministère de la Justice, de multiples sources indiquent qu’il y a bien eu un incident de sécurité informatique. Mais le doute demeure quant à l’entité effectivement touchée. De toute évidence, de nombreuses entités dépendent du ministère, et seule l’une d’entre elles pourrait avoir fait l’objet d’une cyberattaque. D’autant plus que la compétence sécurité des systèmes d’information n’est pas, selon nos sources, très solidement représentée dans la plupart d’entre elles. En outre, six postes au moins sont actuellement vacants au ministère de la Justice, en matière de sécurité des systèmes d’information, et LinkedIn ne recense pas de nombreux profils actuellement en fonction.  

Qui plus est, les opérateurs et affidés de LockBit 2.0 n’ont pas manqué de « tricher » quelque peu sur leurs allégations, au cours des derniers mois. Pour mémoire, début décembre 2020, un affidé LockBit 2.0 avait revendiqué une cyberattaque avec vol de données contre Schneider Electric. L’intéressé avait réfuté ces affirmations. À juste titre : l’examen des données divulguées avait montré qu’elles provenaient de chez Vestas, spécialiste danois de l’éolien, attaqué précédemment.

Début janvier, un affidé de la franchise a revendiqué une attaque contre Thales. Celle-ci s’est avérée ultérieurement être limitée à un dépôt GitLab utilisé par Thales Alenia Space et Thales Digital Factory.

Le site vitrine de la franchise mafieuse suggère que près de 10 000 fichiers auraient été dérobés lors de l’attaque du ministère de la Justice – ou à tout le moins d’une entité en dépendant. Pour Saint-Cloud, il faudrait compter avec moins de 8 000, et moins de 3 800 pour ESTPM.

Nous avons sollicité des commentaires du ministère de la Justice. À ce stade, ils s’avèrent laconiques : « le ministère de la Justice a pris connaissance de l’alerte, et s’est immédiatement organisé pour procéder aux vérifications nécessaires, en lien avec les services compétents dans ce domaine ».