[Mise à jour] Black Basta revendique la cyberattaque contre Oralia

[Mise à jour le 27 avril 2022 @ 15h00] Oralia vient d’être épinglée sur le site vitrine d’un groupe jusqu’ici largement inconnu, Black Basta. Pour étayer ses propos, celui-ci présente des copies de cartes d’identité et de quelques documents présentés comme internes au bailleur. Le groupe de cyberdélinquants ajoute à cela des informations de cartographie du système d’information d’Oralia, notamment sa partie virtualisée. Selon les éléments mis en ligne, Black Basta disposerait d’environ 60 Go de données compressées. 

[Mise à jour le 25 avril 2022 @ 19h25] La directrice de la communication de Nexity (groupe propriétaire d’Oralia) a joint la rédaction par téléphone. Elle précise que les serveurs d’Oralia sont isolés de ceux de Nexity. Aucune propagation n’est crainte. Les équipes d’Orange Cyber Defense ont identifié le ransomware impliqué, ainsi que le point d’entrée des assaillants. La porte-parole n’est pas en mesure de nous les indiquer immédiatement, mais a promis de revenir vers nous avec un interlocuteur technique. La détonation est survenue le 20 avril et Oralia est déjà entré en phase de reprise d’activité. Les analyses se poursuivent pour déterminer précisément l’étendue du vol de données.

[Article initial] Oralia, société d’administration de biens immobiliers, a été frappée par une cyberattaque. Son site Web affiche un bandeau indiquant que l’espace client en ligne est « inaccessible pour le moment ». Jointe par téléphone, une agence confirme que l’essentiel du système d’information est paralysé, tout en précisant que la messagerie électronique a pu être rétablie le vendredi 22 avril.

Oralia a en fait commencé à communiquer auprès de ses clients par courriel le mercredi 20 avril, indiquant qu’une « cyberattaque a été détectée sur [son] réseau informatique ». Et d’ajouter que « des mesures de sécurité ont été immédiatement prises afin de limiter les risques de propagation et d’utilisation des données ».

Justement, il semble bien y avoir menace sur des données personnelles. Dans le même e-mail, Karine Olivier, directrice générale d’Oralia, appelle à « la plus grande vigilance » et demande notamment « de ne transmettre aucune donnée à Oralia par échange de mail ».

Dans un second e-mail, la directrice générale du bailleur explique qu’Orange Cyber Défense a été appelé à la rescousse et indique que « l’origine de la cyberattaque a pu être très rapidement identifiée, permettant ainsi de comprendre la manière dont certaines données ont été cryptées [sic] ». De quoi suggérer l’implication d’un ransomware.

La famille du rançongiciel concerné n’est pas précisée, mais les précautions mentionnées dans le premier message suggèrent qu’il puisse être lié à des cyberdélinquants pratiquant la double extorsion, à savoir : voler des données avant de chiffrer des hôtes du système d’information, afin de menacer non seulement la victime de ne pas pouvoir retrouver l’accès à ses données sans payer la rançon demandée, mais également de divulguer les données dérobées en cas de résistance à la tentative d’extorsion.

Ce n’est pas la première fois qu’un bailleur français est victime d’une cyberattaque avec ransomware. Entre 2020 et 2021, il a fallu ainsi compter avec Logéal Immobilière (DoppelPaymer), Paris Habitat (REvil/Sodinokibi), Finistère Habitat (NetWalker), 1001 Vies Habitats, ou encore Deux-Sèvres Habitat.

Les bailleurs sont amenés à traiter d’importantes quantités de données personnelles, entre copies de pièces d’identité et informations financières et fiscales. Le vol de telles données est susceptible de faire courir d’importants risques de fraudes avec usurpation d’identité aux personnes concernées.

Oralia revendique, sur son site Web, 75 millions d’euros de chiffre d’affaires annuel et 700 collaborateurs pour 183 000 « lots gérés », via 37 filiales en France. Nexity a signé l’acquisition d’Oralia fin 2013. Ce dernier était alors présenté comme le 5^e groupe d’administration de biens en France. L’opération a été finalisée au premier avril 2014.

Nous avons sollicité la direction de la communication de Nexity et nous mettrons à jour cet article lorsque des réponses à nos questions nous seront adressées.