olly - stock.adobe.com

Cyberattaque : Synertrade constate un vol de données

Enquêtant sur une alerte reçue le 27 juin, la filiale d’Econocom suspecte d’être confrontée au groupe de ransomware Cactus. L’attaque n’a pas encore été revendiquée, mais l’ESN fait état d’un vol de données.

[Mise à jour, le 11 juillet 2024 @ 17h50] Après plus d’une semaine d’investigations, la direction de la communication d’Econocom indique, dans une déclaration transmise à la rédaction, avoir « identifié une fuite de données » ayant eu lieu avant le 27 juin. Une telle exfiltration serait cohérente avec les pratiques de double extorsion des acteurs du rançongiciel et, notamment, de l’enseigne Cactus suspectée d’être impliquée. Cette déclaration survient avant qu’une quelconque revendication de cyberattaque ait été constatée – contrairement à une pratique encore répandue.

Dans sa déclaration, l’ESN indique que les éléments exfiltrés « concernent des données non considérées comme sensibles au regard du RGPD, liées à un nombre limité de clients qui ont tous été immédiatement informés ». Et de préciser : « les autorités compétentes ont également été averties et nous poursuivons nos mesures de remédiation et de sécurisation ».

[Article original, le 3 juillet 2024] Que se passe-t-il chez Synertrade ? Plusieurs clients de la filiale d’Econocom, des deux côtés du Rhin, se sont tournés vers LeMagIT avec cette question, ce lundi 1er juillet, évoquant une isolation de son système d’information et l’interruption de certains services.

Sollicitée par la rédaction, la direction de la communication de l’entreprise de services numériques (ESN) fait état d’une « alerte concernant Synertrade, reçue le jeudi 27 juin, laissant présager d’un potentiel incident de sécurité ». 

Dans une déclaration adressée à la rédaction par e-mail, Econocom indique que, « immédiatement, et conformément à notre plan de réponse à incident, tous les flux informatiques du SI de Synertrade vers l’extérieur ont été coupés et une investigation détaillée a démarré avec notre SOC interne ».

Qui plus est, « les clients de Synertrade et les équipes internes ont été informés, et le service a été réouvert depuis lundi 1er juillet matin de manière progressive afin de préserver nos clients de tout risque éventuel ». 

L’enquête a permis d’identifier « un logiciel suspect » et les marqueurs techniques associés « ont été partagés avec la communauté InterCERT et les autorités compétentes ». Selon Econocom, « aucune compromission de données clients ou de données à caractère personnel n’a été constatée ». La nature et l’identité du logiciel « suspect » ne nous ont pas été précisées, à l’heure où nous publions ces lignes, ni même la manière dont il a été introduit. 

Tout en précisant que l’analyse est toujours en cours, l’ESN indique que « le modus operandi laisse à penser qu’il pourrait s’agir d’une action du groupe Cactus. Cependant, ce point reste à confirmer ». Et de souligner que le maliciel découvert était fortement maquillé : « seul un scan très “agressif” a permis de l’identifier ».

Selon Econocom, « du fait de l’étanchéité du réseau de Synertrade vis-à-vis de celui du groupe Econocom, l’incident reste circonscrit au périmètre de Synertrade ».

Synertrade fournit des solutions dites de source-to-pay utilisées pour gérer la chaîne logistique. Parmi ses clients apparaissent de grands comptes tels que AG2R La Mondiale, AGCO, Auchan, Bonduelle, BASF, CMA-CGM, Edeka, ou encore Eon et l’autorité portuaire de Hambourg.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close