Fondation de France : plusieurs questions restent sans réponse sur la cyberattaque

[Mise à jour, le 28 septembre @ 9h45] Sollicitée à nouveau par la rédaction ce 27 septembre au matin, la Fondation de France se refuse toujours à indiquer s’il y a eu chiffrement de données sur son système d’information, de même qu’à préciser la nature et l’étendue des dégâts commis par les intrus, ou encore l’impact de l’incident sur ses activités.

Une porte-parole de la Fondation indique que « nous ne souhaitons pas divulguer d’informations sur les investigations en cours », mais précise toutefois que « nous n’avons pas reçu de demande de rançon » et « aucune trace de vol de données n’a été détectée ».

Ces deux précisions ne permettent cependant pas de conclure que la Fondation n’est pas l’objet d’une tentative de cyberextorsion, avec ransomware ou pas. D’une part, certains cybercriminels font chanter leurs victimes sans en chiffrer les données, et souvent, en cas de rançongiciel, une note est déposée qui ne contient pas de demande de rançon explicite, mais des instructions sur la manière d’engager la conversation avec les attaquants. Interrogée sur l’éventuelle existence de telles instructions, la Fondation n’a pas répondu.

D’autre part, la grande majorité des victimes de cyberattaque ne dispose pas de la supervision permettant de suivre un éventuel assaillant et ses actions, voire même de les retracer. Établir s’il y a eu vol de données, lesquelles et en quelle quantité, peut s’avérer difficile, voire nécessiter d’attendre le début d’éventuelles divulgations.

À l’heure où sont publiées ces lignes, le serveur de messagerie Microsoft Exchange et le système d’accès distant Citrix Gateway précédemment observés sur la surface exposée de la Fondation ne répondent toujours pas aux sollicitations extérieures. 

La Fondation de France revendique « une gouvernance fondée sur la confiance » s’appuyant « deux principes directeurs », dont « la transparence ».

[Article original, le 21 septembre 2023 @ 18h37] Ce mardi 19 septembre, la Fondation de France adresse un courriel à ses partenaires. Nos confrères de l’Informé en ont pris connaissance et le citent : « notre système informatique a fait l’objet d’une intrusion frauduleuse. Nous avons mobilisé les experts certifiés par l’Anssi spécialisés dans ce type d’attaque ».

Plus loin, la Fondation ajoute : « par mesure de précaution, l’ensemble de nos systèmes (sont) à l’arrêt, le temps d’établir un diagnostic approfondi ». La surface exposée par la Fondation fait effectivement apparaître plusieurs systèmes ne répondant plus aux sollicitations externes : un serveur de messagerie, un système d’accès distant Citrix Gateway, ainsi qu’un système de partage de fichiers volumineux LiquidFiles. Ni le serveur de messagerie ni l’instance Citrix Gateway ne semblent avoir été récemment affectés par des vulnérabilités non corrigées, selon les données du moteur de recherche spécialisé Onyphe.  

Contactée par LeMagIT, une porte-parole de la Fondation réitère les propos tenus à nos confrères : « cette cyberattaque n’a aucun impact sur la sécurité des dons, les informations bancaires ou les flux financiers, tous déconnectés du système » affecté par l’intrusion.

À ce stade, pas question de dire s’il y a eu, ou pas, chiffrement de données sur le périmètre isolé : « pour des raisons évidentes de sécurité, nous ne souhaitons donner aucune information technique sur la situation tant que les investigations sont en cours ». Celles-ci ont été confiées à un « prestataire de réponse aux incidents de sécurité qualifié par l’Anssi », qui ne sera pas nommé.

Face à notre insistance, pour savoir si un chiffrement de données a été constaté, la Fondation motive son refus de répondre par les « préconisations de l’Anssi », ainsi que par le suivi « des recommandations des experts avec lesquels nous travaillons », à savoir le prestataire assurant la gestion de la crise. 

La Fondation de France se présente comme le « premier réseau de philanthropie en France », réunissant « donateurs, fondateurs, bénévoles et porteurs de projet sur tous les territoires ». Elle s’appuie notamment sur six fondations régionales et abrite 977 fondations, à l’instar de celles de Groupama Asset Management, d’Adecco, d’Astrazeneca, de Berger-Levrault, et des laboratoires La Roche Posay. 

À l’occasion du séisme qui a touché le Maroc au début du mois de septembre, la Fondation de France a immédiatement mobilisé 250 000 euros et lancé un appel aux dons, indiquant avoir collecté plus de 6 millions d’euros.