GCA : une revendication apparaît sur la vitrine de RansomHouse

[Mise à jour, le 27 février 2024 @ 14h00] La revendication d’une cyberattaque contre le transporteur GCA (Groupe Charles André) a fait son apparition, ce lundi 26 février 2024, sur le site vitrine de RansomHouse.

Cette revendication fait état d’un chiffrement déclenché le 16 février dernier, précédé du vol de « environ 239o [sic] » de données. Un nombre important semble déjà proposé au téléchargement.

Les dates de création des dossiers suggèrent que celle avancée pour le chiffrement, le 16 février, correspond plutôt au débit du vol des données qu’au déclenchement d’un chiffrement, avec ou sans rançongiciel. Les dossiers créés en dernier semblent l’avoir été le 18 février.

La revendication ne porte que sur les activités du groupe GCA aux Pays-Bas, mais les noms de nombreux fichiers proposés au téléchargement sont en français. 

Les noms de certains fichiers mentionnent en outre des personnes auxquelles correspondent des profils LinkedIn, en France, mentionnant GCA comme employeur actuel ou passé.

Contactée par la rédaction, la direction de la communication du logisticien a déclaré que ses équipes n’étaient « pas informées de cette revendication pour la filiale néerlandaise ». Et d’ajouter ne pas avoir « de compléments à apporter depuis nos derniers échanges ».

[Article original, le 20 février 2024 @ 9h00] Dans un message adressé à ses clients, que nous avons pu consulter, le transporteur GCA (Groupe Charles André) dit avoir été victime d’une cyberattaque dans la nuit du 17 au 18 février.

« Par mesure de précaution nous avons décidé de couper les accès Internet extérieurs à nos systèmes le temps de faire un diagnostic complet de la situation et de pouvoir redémarrer de manière sécurisée, dans les meilleurs délais », peut-on y lire. 

Selon le texte, « une cellule de crise a été activée avec les responsables concernés. Les autorités compétentes ont été informées et les procédures de déclaration et de plainte sont en cours ». 

Pour l’heure, « les adresses mail habituelles, les téléphones fixes, les connexions EDI, API, ne [sont] pas fonctionnelles ». De fait, la ligne de l’accueil, notamment, sonne dans le vide.

GCA dit n’avoir, « à ce stade », « pas de raison de penser qu’il y aurait eu fuite de données ». Le groupe ne précise pas s’il a constaté (ou pas) un chiffrement de systèmes et assure mener « des investigations avec l’aide de spécialistes externes, en relation avec l’Anssi, notre priorité étant d’assurer un niveau de sécurité informatique adapté ».

La rédaction a sollicité la direction de la communication de GCA sur un téléphone mobile en demandant, notamment, si un ransomware est impliqué (et si oui, lequel). La situation nous a été confirmée, mais pour l’heure, nos questions additionnelles n’ont pas reçu de réponse. Elles sont toutefois essentielles : elles permettent d’estimer s’il convient vraisemblablement, ou pas, de craindre un vol de données. 

Les données d’Onyphe suggèrent que GCA exploitait encore, le 14 février, une instance Citrix Gateway affectée par la vulnérabilité CVE-2023-3519, sur laquelle l’équipementier alertait en juillet dernier. Mais le spécialiste de la gestion de la surface d’attaque exposée lui a également trouvé, quelques jours plus tôt, une instance MobileIron exposant une version concernée par deux autres vulnérabilités, connues pour être exploitées dans le cadre de cyberattaques : les CVE-2023-35081 et CVE-2023-35078. À l’heure où nous publions ces lignes, ces systèmes apparaissent déconnectés d’Internet. 

Ce n’est pas la première fois que GCA est victime d’une cyberattaque. Le groupe en a déjà fait l’amère expérience quasiment 3 ans jour pour jour. À cette époque, le rançongiciel Doppelpaymer avait été impliqué. L’attaque avait été revendiquée début mars 2021.

Le secteur du transport et de la logistique est loin d’être épargné par les cyberattaques. Les sociétés de transport du groupe Guyamier en ont été victimes fin novembre dernier. Une situation dont au moins quatre autres spécialistes de la logistique, en France, avaient déjà souffert en 2023.