Ransomware : CAFPI a été attaqué fin avril par Vice Society

[Mise à jour, le 24 mai 2023 @ 15h45] CAFPI a publié un communiqué sur son site Web et mis en ligne une foire aux questions dédiée, où figure notamment un numéro vert. Sur cette page, le courtier rappelle quelques risques habituels (« usurpation d’identité, escroquerie, phishing, etc. ») et les accompagne de recommandations d’usage : « examiner avec attention ceux qui sembleraient vous parvenir de la part de CAFPI ou de toute autre organisation de renom ; ne répondez jamais à un email sollicitant vos informations personnelles ou bancaires et n’ouvrez pas les pièces jointes, si vous avez un doute ; vérifiez l’expéditeur de l’email, l’adresse email de CAFPI contient toujours cafpi.fr après le @ [ce qui n’est toutefois pas une garantie d’authenticité en soi, N.D.L.R.] ; vérifiez toujours l’adresse url du site vers lequel vous êtes redirigé après avoir cliqué sur un lien dans un email – l’adresse dans la barre de navigation doit contenir un cadenas indiquant le certificat de sécurité et cafpi.fr ».

Les recommandations les plus importantes dans le cadre de cette cyberattaque viennent en fait après, présentées comme une invitation « à titre préventif » : « rester vigilant dans le contrôle de vos relevés bancaires et de tout appel provenant de votre établissement bancaire ; signaler toute anomalie que pourriez identifier auprès de votre banque. Si votre établissement bancaire peut vous envoyer des alertes d’activité de compte par SMS ou par message électronique, inscrivez-vous à ce service ».

Car pour les individus dont les dossiers de financement – données d’état civil, relevés de comptes bancaires, justificatifs de revenus et de patrimoine, etc. – ont été volés par les assaillants, le risque principal est clairement l’usurpation d’identité. 

[Article original, le 23 mai 2023 @ 17h47] Ce lundi 22 mai en fin de journée, le site vitrine de Vice Society s’est agrémenté d’une nouvelle revendication : une cyberattaque contre Cafpi. Cette publication est enrichie de quelques captures d’écran que nous ne reproduirons pas ici : il s’agit largement de données personnelles identifiables.

Ce n’est qu’une demi-surprise : le courtier en prêts immobiliers manipule quantité de données personnelles indispensables à la constitution des dossiers, avec copies de pièces d’identité, ou de justificatifs de revenus et d’adresse. 

Mais Vice Society ne se contente pas de cela : le groupe de cyberdélinquants diffuse un large éventail de données volées à sa victime, jusqu’à la documentation interne de sa DSI. De quoi en apprendre beaucoup sur l’architecture de ses systèmes d’information. 

La date de création des dossiers suggère que l’exfiltration des données a commencé le 30 avril dernier. Cette date nous a été confirmée par Caroline Arnould, directrice du développement de Cafpi, lors d’un entretien téléphonique : « le 30 avril, nous avons détecté un incident qui pouvait laisser présager une intrusion ». 

La gestion de crise a été immédiatement déclenchée avec pour objectifs premiers de stopper l’hémorragie et de déclencher les processus qui allaient permettre de minimiser l’indisponibilité du système d’information. Une déclaration a été effectuée auprès de la CNIL et le dépôt d’une plainte est imminent. 

Las, et comme beaucoup de victimes de cyberattaque, Cafpi ne disposait pas de traces réseau permettant de déterminer l’étendue du périmètre affecté, ainsi que la quantité et la nature des données volées. Les divulgations de Vice Society aideront en cela. Les investigations se poursuivent donc. 

À cette heure, Caroline Arnould explique que la priorité de Cafpi est désormais l’information de ses clients, imminente, tant sur son site Web que par e-mail individualisé. Un service téléphonique dédié doit être ouvert.