Fondation de France : la cyberattaque que LockBit 3.0 n’a pas su revendiquer

Le 28 septembre, une nouvelle revendication de cyberattaque apparaît sur le site vitrine de la franchise mafieuse LockBit 3.0 : elle concerne fdf.org.uk, à savoir, la fédération britannique des boissons et de l’alimentation. 

Mais voilà, neuf jours plus tôt, la Fondation de France informait ses partenaires d’une cyberattaque. Début octobre, elle n’avait toujours pas accepté de dire s’il y avait eu chiffrement, ni, si oui, quelle famille de ransomware était éventuellement impliquée, ni, encore, si (et combien) des données avaient été volées ; malgré nos relances.

Mais la revendication de LockBit 3.0 interroge aussitôt : l’affidé de la franchise à la manœuvre contre, soi-disant, la fédération britannique des boissons et de l’alimentaire, s’est-il trompé, confondant fdf.org.uk et… fdf.org, le nom de domaine principal de la Fondation de France ? Il faudra attendre un peu pour obtenir la réponse.

Le début de la divulgation de données attribuées à la fédération britannique des boissons et de l’alimentaire renforce les soupçons : certains de noms de fichiers proposés au téléchargement – depuis un site accessible sans passer par Tor, hébergé en Russie – sont… français. Une archive compressée de près de 3 Go de données est ainsi nommée « 3-JURIDIQUE.zip » ; une autre d’un peu plus de 8 Go porte le nom « Ressourceshumaines.zip » ; et une troisième « assurances.zip ». Le volume total de données divulguées, compressé, semble de moins de 20 Go. 

Le nom d’une archive suggère qu’elle contient des copies de passeports. Nous avons sollicité à nouveau la Fondation de France pour savoir comment étaient stockées et protégées les données qui apparaissent aujourd’hui lui avoir été volées, combien d’organismes caritatifs sont concernés, et quelles mesures de protection de l’identité ont été prises pour les personnes éventuellement affectées. 

Dans un e-mail adressé à la rédaction, une porte-parole confirme avoir « effectivement identifié les données concernées, qui sont très circonscrites et ne touchent qu’un nombre restreint de contacts ». Elle ajoute que la Fondation a « procédé aux démarches d’information nécessaires auprès des autorités compétentes et des personnes concernées » et assure que « ces données ne contiennent aucune information relative aux organismes caritatifs ni au circuit de dons ».

L’acteur impliqué dans cette cyberattaque ne semble en tout cas pas chercher à cacher ses traces et utilise, pour divulguer les données volées à ses victimes, une infrastructure bien visible, avec un nom de domaine déposé en février 2023, et un hébergement en Russie. Cette infrastructure a également été utilisée pour la diffusion de données attribuées à Foremost Groups, Pelmorex (attaqué autour du 12 septembre), EZ Pay Buildings, Rex Group Services et les Suncoast Community Health Centers.