Cyberattaque : un premier lot de données volées à La Poste Mobile divulgué

[mise à jour, 11 juillet 2022 @ 18h15] Un premier jeu de données volées à l'occasion de l'attaque conduite contre La Poste Mobile vient d'être divulgué par la franchise mafieuse LockBit 3.0. Deux fichiers sont mis à disposition au téléchargement, dont le nom suggère qu'ils contiennent des données clients, pour l'activité téléphone mobile pour l'un, et pour les clients Box pour l'autre. Le premier pèse rien moins que 146 Mo, contre 153 Mo pour le second. Pour de simples fichiers texte, c'est considérable. 

La divulgation d'un second lot est prévue pour le 16 juillet à 17h, heure de Paris. Le nom du fichier associé suggère qu'il s'agira de bases de données. 

[mise à jour, 11 juillet 2022 @ 16h30] La revendication de la cyberattaque impliquant le rançongiciel LockBit est réapparue sur le site vitrine de la franchise, au alentours de 16h. L'échéance pour la divulgation des données volées lors de l'attaque a alors été fixée autour 18h35, heure de Paris. Mais quelques instants plus tard, elle a été avancée autour de 17h !  

[mise à jour, 11 juillet 2022 @ 12h10] La Poste Mobile a adressé des notifications à ses clients, par SMS, dans la nuit de vendredi à samedi 9 juillet. Celles-ci ne comportent pas d'informations additionnelles et se contentent d'inviter le destinataire à consulter la page Web mise en place pour informer les clients sur la cyberattaque. 

Par ailleurs, ce dimanche 10 juillet en fin d'après-midi, la revendication de l'attaque a disparu du site vitrine de la franchise LockBit 3.0. L'échéance pour la divulgation des données dérobées par les assaillants avait été fixée au 11 juillet 2022 à 19h18 UTC.  

[mise à jour, 8 juillet 2022 @ 13h50] La Poste Mobile reconnaît, dans un communiqué de presse, la réalité de la cyberattaque. Dans celui-ci, l'opérateur mobile indique que « les services administratifs et de gestion de La Poste Mobile ont été victimes, ce lundi 4 juillet, d’un virus malveillant de type rançongiciel ».

Il assure en outre que « dès connaissance de cet incident, La Poste Mobile a pris les mesures de protection nécessaires en suspendant immédiatement les systèmes informatiques concernés. Cette action de protection a conduit à fermer momentanément le site internet et l’espace client ».

L'opérateur explique que ses équipes informatiques « actuellement au diagnostic de la situation. Les premières analyses établissent que les serveurs essentiels au fonctionnement des lignes mobiles des clients ont bien été protégés. En revanche, il est possible que des fichiers présents dans des ordinateurs de salariés de La Poste Mobile aient été affectés. Certains d’entre eux peuvent contenir des données à caractère personnel ».

[article original, 8 juillet 2022 @ 13h33] Les premiers messages de clients de La Poste Mobile trahissant l’occurrence d’un sérieux incident sont apparus le 4 juillet. Problèmes d’activation de ligne, impossibilité d’obtenir le précieux RIO indispensable à une portabilité, service client injoignable par téléphone, pas d’accès à l’application mobile ni au site… A chaque fois, même réponse : « je viens de vous apporter une réponse en privé ». Comme un sentiment de déjà vu après l’incident ayant affecté les services de laposte.net entre avril et mai.

Sur le site Web de La Poste Mobile, une affirmation : « nous procédons actuellement à l’amélioration de nos produits et services. Ainsi, le site internet et l’espace client sont momentanément indisponibles ». Un « moment » qui s’étale donc désormais sur plusieurs jours.

Ce jeudi 7 juillet, une source nous a contacté pour suggérer qu’une entité du groupe La Poste était confrontée à une cyberattaque impliquant un ransomware. La revendication d’une attaque contre La Poste Mobile, l’opérateur mobile virtuel (MVNO) du groupe, a été publiée en pleine nuit sur la toute nouvelle vitrine de la franchise LockBit 3.0. Les captures d’écran associées à la revendication suggèrent le vol de données personnelles, dont des coordonnées bancaires.

Cette revendication est surprenante à plusieurs égards. Tout d’abord, elle survient très vite : l'incident ayant conduit à l'arrêt de nombreux services informatique de La Poste Mobile n'est survenu que dimanche 3 juillet. A titre de comparaison, l’attaque avec LockBit contre Les Bureaux de l’Épargne est survenue mi-avril et n’a été revendiquée que très récemment.

En outre, la revendication ne met pas à profit les options de monétisation récemment ajoutée apparues sur la vitrine de la franchise LockBit. L’une d’entre elles permet notamment de payer simplement pour que les données volées soient détruites. Une autre permet de procéder à un paiement pour récupérer le lot de données volées menacées de divulgation. Rien de tout cela pour la Poste Mobile.

Enfin, la revendication est survenue tard dans la nuit, à une heure où il n’est pas fréquent que soient publiées de revendications de cyberattaque. Autant d’éléments qui suggèrent que l’assaillant ait été excédé par l’attitude de sa victime et ait décidé de ne pas lui laisser d’autre option que de payer la rançon demandée ou que les données soient divulguées. Et il ne serait pas surprenant que le cybercriminel joue de l’argument RGPD.

De son côté, ni La Poste Mobile ni le groupe La Poste ne semble avoir anticipé cette revendication ou s’être préparé à communiquer publiquement sur la situation. A l’heure où nous publions ces lignes, aucun communiqué de presse n’a encore été émis et les questions que nous avons envoyées sont encore sans réponses. Nous ne manquerons pas de mettre à jour cet article à mesure que nous obtiendrons des éléments complémentaires.