Revendications de LockBit : Thales pointe notamment un compte « partenaire »

Il y a deux semaines, la revendication d’une cyberattaque contre Thales faisait son apparition sur le site vitrine de la franchise LockBit 3.0. La mention du nom d’un tel groupe n’a pas manqué d’avoir l’effet escompté : attirer l’attention. Et à plus forte raison, puisque ce n’est pas la première fois que Thales est ainsi mis à l’index par LockBit. Mais l’histoire n’est-elle pas en train de bégayer ?

Une semaine après la revendication, les cyberdélinquants ont mis leur menace à exécution et publié une archive de plus de 9 Go de données prétendument volées à Thales. Opportunément, ils n’ont pas manqué de glisser cette archive dans un dossier nommé « newattack ».

Mais cette divulgation a aussi été l’opportunité, pour Thales, de se pencher sur les allégations de ses prétendus assaillants en examinant lesdites données. Dans un communiqué de presse, le groupe est formel : « à ce stade, Thales est en mesure de confirmer qu’il n’y a pas eu d’intrusion sur des systèmes d’information ».

Selon le communiqué, les équipes de sécurité informatique du groupe ont même, à partir des données divulguées, réussi à « identifier l’une des deux possibles sources du vol ». L’une d’entre elles serait à chercher du côté d’un compte utilisateur compromis sur un portail collaboratif dédié, celui d’un partenaire : « ceci a conduit à la divulgation d’une quantité limitée de données ».

Thales dit continuer d’enquêter sur sa seconde piste tout en « travaillant étroitement avec son partenaire [concerné] en lui fournissant tout le support et les ressources techniques nécessaires pour minimiser tout impact potentiel sur les clients et parties prenantes concernés ».

L’affaire rappelle la revendication de cyberattaque contre Thales publiée début janvier sur le site vitrine de la franchise LockBit (alors en version 2.0). Initialement, Thales avait réfuté la revendication, évoquant une « allégation infondée ». Deux semaines plus tard, la tonalité de la communication du groupe avait toutefois quelque peu évolué.

Après la publication de plus de 1 300 fichiers volés, Thales a indiqué, dans une déclaration, avoir procédé à une « analyse préliminaire » qui a permis « d’identifier la plupart des fichiers volés ». Selon le groupe, ceux-ci semblaient alors « avoir été copiés à partir d’un serveur de dépôt de code (“code repository”) hébergeant des données à faible niveau de sensibilité, et qui est extérieur aux principaux systèmes d’information du groupe Thales ».

Le serveur en question était une instance GitLab qui apparaissait hébergée sur Azure. Sur celle-ci, Thales s’avérait plus disert. Un message destiné aux utilisateurs de l’entrepôt de code expliquait alors que « Thales Digital Factory et Thales Alenia Space ont été affectés par la fuite de code » orchestrée par la franchise LockBit 2.0. Et de préciser que, « à ce stade, tous les faits indiquent la compromission d’un seul compte utilisateur, qui n’a conduit qu’au vol des données accessibles par l’utilisateur ».