Cyberattaques : série noire chez les hébergeurs

Hosteur, Leaseweb, et CloudNordic ont été, l’un après l’autre, victimes de cyberattaques à l’impact plus ou moins marqué. De quoi souligner à nouveau le caractère critique de ces acteurs clés du numérique.

L’hôte cloud danois CloudNordic a déclaré avoir subi une attaque de ransomware le 18 août qui a entraîné la perte, pour la majorité de ses clients, de toutes les données hébergées.

CloudNordic a annoncé l’incident via la page d’accueil de son site Web, expliquant que l’attaque l’a « complètement paralysé » et que les assaillants – non identifiés à ce jour – ont arrêté tous les systèmes, y compris les sites Web de l’hébergeur, les systèmes de messagerie, les serveurs, les systèmes des clients, les sites Web des clients et plus encore.

« Comme nous ne pouvons pas et ne voulons pas répondre aux demandes financières des pirates criminels en matière de rançon, l’équipe informatique de CloudNordic et les experts externes ont travaillé dur pour obtenir un aperçu des dommages et de ce qui était possible à recréer », peut-on lire sur la page d’accueil, traduite automatique du danois vers l’anglais. « Malheureusement, il s’est avéré impossible de recréer plus de données, et la majorité de nos clients ont donc perdu toutes les données chez nous. Cela s’applique à toutes les personnes que nous n’avons pas contactées pour le moment ».

L’hébergeur cloud frère de CloudNordic, AzeroCloud – tous deux appartiennent à la même société mère –, a également été touché. La notification sur son site Web est identique.

L’attaque s’est produite, estime CloudNordic, lorsque les serveurs étaient migrés entre centres de calcul et que les systèmes déjà infectés étaient câblés pour accéder au réseau interne de l’entreprise pendant cette période. Ce qui a accordé aux attaquants l’accès aux systèmes centraux d’administration ainsi qu’aux sauvegardes.

Trois jours plus tard, au petit matin, c’était au tour du Suisse Hosteur de faire l’amère expérience d’une cyberattaque. Tout de suite, il s’est attelé à communiquer avec ses clients sur les réseaux sociaux, évoquant rapidement une « attaque cryptolocker ». 

Mais Hosteur connaît une situation plus favorable. Une semaine après, l’essentiel de ses services apparaît rétabli, à l’exception, certes notable, de son service de sauvegarde à distance Veeam. Bonne nouvelle pour son environnement de PaaS, FlexOne : « nous pouvons garantir que les données clients […] sont saines et complètes ». En fait, indiquait Hosteur le 24 août, « seule la plateforme d’hébergement a été touchée par l’attaque et nos équipes sont en train d’essayer de la remettre en fonction ». Ce lundi 28 août, l’hébergeur faisait encore une fois le point de la situation : « nous sommes en train de finaliser la restauration et de rétablir les derniers services annexes et les dernières VM ».

Hosteur compte de nombreux clients de France, qui ont été, de toute évidence, affectés par l’incident. Certains services numériques de la ville de Saint-Raphaël semblent ainsi avoir été concernés. 

Le 22 août, c’était au tour de Leaseweb de « détecter une activité inhabituelle dans certaines zones de nos environnements Cloud ». En réponse, l’hébergeur a « temporairement désactivé certains systèmes critiques ». Il s’agissait bien d’un incident de sécurité, qui a motivé la sollicitation d’une entreprise « respectée de cybersécurité et de forensique ».

« Notre enquête est en cours, mais nous avons réussi à contenir l’incident, à améliorer nos mesures de sécurité et nous n’avons pas constaté d’autres activités non autorisées », précisait alors Leaseweb. Dernière communication sur le sujet, en date du 23 août : « notre équipe d’ingénieurs nous a informés que le portail client a été réactivé et qu’il est pleinement opérationnel. Si vous avez des questions, n’hésitez pas à nous contacter en créant un ticket via le portail client ».

ESN : des acteurs critiques

Fin juillet dernier 2022, Trellix soulignait la menace pesant sur les ESN. Deux semaines plus tôt, l’Américain SHI International confirmait avoir été touché par une cyberattaque « professionnelle avec maliciel », sans fournir plus de détails. Avant cela, des attaques contre Integrate Informatik AG, Adapt IT, Syredis, ou encore Datalit, avaient été revendiquées sur les sites vitrine de diverses franchises de ransomware.  

Au premier trimestre 2022, l’Agence nationale de la sécurité des systèmes d’information (Anssi) disait avoir « traité 18 compromissions » ayant affecté des ESN l’année précédente, contre 4 en 2020.

Et l’Anssi de souligner alors « un risque de propagation rapide d’une attaque qui peut parfois concerner un secteur d’activité entier, ou une zone géographique précise, notamment lorsque l’attaque cible une entreprise de service numérique locale ou spécialisée dans un secteur d’activité particulier ».

Huit cas étaient connus publiquement pour 2021 : Infovista, Berger-Levrault, Solware, LinkOffice, Maitrex, Idline, un prestataire de la ville du Cannet des Maures (Inetum), ou encore Xefi (du moins selon l’un de ses clients et les allégations d’Everest et comme le suggèrent les données divulguées par le groupe début octobre dernier).

Fin mai 2022, Akka Technologies – racheté par Adecco et désormais rebaptisé Akkodis – avait été victime d’une cyberattaque impliquant le ransomware Alphv/BlackCat, à l’instar d’Inetum. Aucune de ces deux attaques n’a été revendiquée sur le site vitrine de la franchise mafieuse correspondante.

Fin septembre 2022, c’était au tour d’ITS Group d’être confronté à une cyberattaque impliquant un rançongiciel. Celle-ci a depuis été revendiquée par le groupe Play. Fin 2022, l’ESN néo-zélandaise Mecury IT a été confrontée à la franchise mafieuse LockBit, de même que Kearney & Company, et AFD.Tech (Accenture) a évoqué une « tentative d’activité irrégulière », sans plus de précision.

Mais il faut aussi compter avec Rackspace, qui a été victime, fin 2022, du ransomware Play. Cet épisode malheureux lui aurait coûté la bagatelle de 10,8 millions de dollars.

L’année 2023 a, quant à elle, commencé par la vaste campagne dite ESXiArgs, touchant les hébergeurs bare metal. La France et notamment OVHcloud se sont retrouvés en première ligne. Une certaine rançon du succès pour le champion hexagonal qui compte plus d’un millier de partenaires channel : des fournisseurs de services numériques qui s’appuient sur ses offres bare metal pour construire leurs offres de plus haut niveau. 

Moins de deux mois plus tard, de nombreux clients de Bouygues Telecom Entreprises OnCloud étaient à leur tour paralysés par une cyberattaque conduite, selon nos sources, contre un hôte VMware ESXi

Au mois de mai, enfin, le groupe Lacroix de disait victime d’une « attaque cyber contenue ». Quelques jours plus tard, les opérateurs de la franchise Alphv/BlackCat mettaient explicitement en cause Group DIS, affirmant que l’infogéreur « a refusé de payer pour la sécurité et les données de son client ». Et d’affirmer divulguer en conséquence les données de celui qu’ils présentent comme le principal client de l’infogéreur, Lacroix Electronics.

Pour approfondir sur Menaces, Ransomwares, DDoS

Close