massimhokuto - stock.adobe.com

Fédération Française de Rugby : la cyberattaque remonte au début du mois de juin

Une revendication de cyberattaque contre la Fédération Française de Rubgy vient d’être publiée sur le site vitrine de la franchise mafieuse Play, celle-là même qui avait frappé la ville de Lille. La FFR a publié un communiqué.

[Mise à jour, le 22 juin 2023 @ 16h45] Dans un communiqué publié sur son site Web, la FFR indique que la cyberattaque est survenue « durant la nuit du mercredi 7 au jeudi 8 juin ». Elle aurait principalement affecté les serveurs de messagerie. La FFR dit « continuer, en lien avec les autorités, à rechercher et analyser les données qui auraient pu être exfiltrées dans le cadre de cette attaque, y compris les e-mails, les contacts et les informations de calendrier ».

Plus loin, la FFR assure ne pas avoir reçu de demande de rançon et « ne souhaitera pas y répondre le cas échéant ». Ce n’est guère surprenant : le ransomware Play dépose une note dite de rançon à son exécution, mais celle-ci ne consiste généralement qu’en une invitation à engager le dialogue, par e-mail. Ce n’est que dans le cadre de tels échanges que les cybercriminels dévoilent leurs exigences. 

Enfin, « la Fédération Française de Rugby tient à rappeler que la protection des données du réseau fédéral reste une de ses plus grandes priorités ». Les données du moteur de recherche spécialisé Onyphe font toutefois apparaître un serveur de messagerie Microsoft Exchange, vu, le 7 juin dernier, dans une version concernée par les vulnérabilités dites ProxyNotShell

Début décembre 2022, Rackspace avait fait l’objet d’une cyberattaque conduite avec le ransomware Play et menée en exploitant ProxyNotShell. 

[Article original, le 21 juin 2023 @ 14h32] Coup de tonnerre sur l’ovalie à quelques mois du début de la Coupe du monde de rugby qui se déroulera en France à compter du 9 septembre : une revendication de cyberattaque contre la Fédération Française de Rugby (FFR) vient d’apparaître sur le site vitrine de la franchise mafieuse Play. 

La revendication ne précise pas la quantité de données dérobées, mais fait état de données « confidentielles privées et personnelles », de documents « de clients et d’employés, passeports, RH, etc. ». La divulgation des données compromises est programmée pour le 27 juin. 

La FFR n’a pas encore communiqué sur le sujet. Les habitudes de Play et de ses affidés en matière de revendication laissent à imaginer que la cyberattaque a été découverte il y a deux ou trois semaines. Nous avons adressé une demande de précisions par e-mail à la FFR et nous ne manquerons pas de mettre à jour cet article si et quand des réponses nous parviendrons. 

Le site vitrine de Play (aussi appelé PlayCrypt) a été découvert fin novembre. Il est accessible depuis deux adresses Tor. Le plus ancien échantillon de Play publiquement disponible a été compilé fin juin 2022, une période correspondant à l’apparition des premières demandes d’aide sur les forums de nos confrères de Bleeping Computer. La première victime connue de ce ransomware est le système judiciaire de Cordoba, en Argentine, frappé mi-août.

En France, Play est connu pour avoir frappé le département des Alpes-Maritimes, ITS Group et Vocalcom, mais surtout la ville de Lille, début mars 2023. Le groupe a également revendiqué abusivement une cyberattaque contre BMW France.

Pour approfondir sur Menaces, Ransomwares, DDoS

Close