Ransomware : dans les coulisses de la fausse revendication de LockBit contre Thales

Gros coup de froid dans les bureaux de Thales, le 31 octobre 2022 au matin, peu après 8h30. Une revendication de cyberattaque vient d’être épinglée sur le site vitrine de la franchise mafieuse LockBit 3.0, avec un intitulé sans ambiguïté : thalesgroup.com. Un compte à rebours annonce la divulgation de données présentées comme volées à Thales pour 7 novembre. Stéphane Lenco, RSSI du groupe, se souvient.

La procédure de gestion de crise est déclenchée immédiatement. Il la connaît bien : elle avait compté parmi ses premiers chantiers à sa prise de fonction, il y a plus de 4 ans.

Techniquement, tout commence par la recherche de marqueurs techniques susceptibles de trahir une compromission par un affidé de LockBit 3.0. Car c’est bien l’une des premières questions : vérifier s’il y a bien eu déclenchement de ransomware dans l’une des entités du groupe. Ce genre d’événement ne passe habituellement pas inaperçu. Mais rien n’est trouvé, aucun signe ne laissant à suspecter la survenue d’une cyberattaque.

Par prudence, les équipes de Thales passent au peigne fin le DarkNet et les forums connus pour être fréquentés par les cybercriminels, à la recherche de références au groupe. Rien là non plus.

Le 7 novembre, le compte à rebours expire. Mais publication de données ne surviendra que plus tard : le 11 novembre. Les attaquants semblent afficher là un butin pour le moins modeste : moins de 10 Go. Les données, habituellement difficiles à télécharger vite sur les sites vitrine de cybercriminels, sont rapatriées en l’espace d’une heure. Le fruit d’un patient travail d’optimisation antérieur.

L’analyse des données permet d’identifier la ligne métier concernée et d’établir d’où viennent les données. Sans perdre de temps, Thales communique publiquement.

Dans un communiqué de presse, le groupe est formel : « à ce stade, Thales est en mesure de confirmer qu’il n’y a pas eu d’intrusion sur des systèmes d’information ».

Selon le communiqué, les équipes de sécurité informatique du groupe ont même, à partir des données divulguées, réussi à « identifier l’une des deux possibles sources du vol ». L’une d’entre elles serait à chercher du côté d’un compte utilisateur compromis sur un portail collaboratif dédié, celui d’un partenaire : « ceci a conduit à la divulgation d’une quantité limitée de données ».

Thales dit continuer d’enquêter sur sa seconde piste tout en « travaillant étroitement avec son partenaire [concerné] en lui fournissant tout le support et les ressources techniques nécessaires pour minimiser tout impact potentiel sur les clients et parties prenantes concernés ».

« Il est difficile d’accorder de la crédibilité à ceux qui parlent honnêtement quand tant mentent des deux côtés. »

Si le groupe a pu avancer aussi rapidement ces éléments, c’est parce que les collègues de Stéphane Lenco avaient déjà des indices. Remontant à l’été 2022.

« Autour du mois d’août », explique le RSSI, ses équipes de renseignement sur les menaces repèrent que des identifiants concernant deux « thalésiens » et un partenaire industriel du groupe ont été compromis. Ils seront vendus le 26 septembre 2022. Pour les collaborateurs de Thales, la procédure est appliquée rigoureusement : les mots de passe sont réinitialisés. Mais cela ne vaut pas pour le partenaire concerné.

Le compte en question permet d’accéder à un portail d’échange de fichiers volumineux : « nous observons l’acteur [de la menace] se promener, entre le 26 et le 30 septembre, cherchant à établir ce à quoi il peut accéder. Il télécharge tout ce qu’il peut ». Il essaie aussi, en vain, les identifiants des « thalésiens ».

Mais de là, l’attaquant n’a aucun moyen de se déplacer dans le système d’information de Thales, de se latéraliser, ni d’élever ses privilèges. Il est coincé, mais tentera toutefois de jouer l’intimidation avec sa revendication et sa divulgation.

Le partenaire industriel concerné s’est vu proposer un diagnostic de cybersécurité par Thales, qu’il a « bien vécu », indique Stéphane Lenco.

Mais le RSSI souligne l’une des difficultés de l’épisode : dès la publication de la revendication, les partenaires du groupe n’ont pas manqué de se tourner vers lui, en quête d’informations, de marqueurs techniques. Et là, se faire entendre n’a pas toujours été trivial : « faire passer le message que l’on reconnaît qu’il y a un vrai sujet, qu’on le traite, mais qu’il n’y a pas de ransomware, ce n’est pas simple ». Certains partenaires ont préféré s’isoler de Thales, au moins temporairement, par précaution.

Au passage, Stéphane Lenco déplore le fait que certaines victimes de cyberattaque cherchent à le cacher : « à aucun moment nous n’avions plus de choses à partager », mais « il est difficile d’accorder de la crédibilité à ceux qui parlent honnêtement quand tant mentent » – du côté des cybercriminels comme des victimes.