La cyberattaque contre Synertrade revendiquée sous la bannière Cactus

[Mise à jour, le 18 octobre 2024 @17h15] Sans trop de surprise, la cyberattaque survenue fin juin contre Synertrade a été revendiquée, le 16 octobre, sur le site vitrine de l’enseigne de ransomware Cactus. Dans une déclaration transmise spontanément à la rédaction, la direction de la communication d’Econocom déplore une attaque « particulièrement agressive ».

Elle explique ainsi que « les attaquants ont profité de leur connaissance pour conduire en rebond une seconde attaque de nos systèmes, que nous avons réussi à contenir grâce aux mesures déployées depuis juillet ». Toutefois, ce second passage a occasionné « une fuite de données concernant un client qui a été immédiatement informé et avec lequel nous travaillons en étroite collaboration ».

Sans surprise, les équipes d’Econocom analysent les données déjà divulguées sous la bannière de Cactus « avec la plus grande vigilance et ne manqueront pas de tenir informés les autres clients éventuellement impactés si tel était le cas ».

Plus loin, la direction de la communication d’Econocom dit avoir « pris toutes les dispositions juridiques que la situation impose ». En outre, « la continuité de services est assurée. Le renforcement de notre plan de sécurisation peut cependant générer un ralentissement transactionnel occasionnel pour nos clients. Nous veillons à ce que cela s’inscrive dans le cadre de nos engagements contractuels standards ».

[Mise à jour, le 11 juillet 2024 @17h50] Après plus d’une semaine d’investigations, la direction de la communication d’Econocom indique, dans une déclaration transmise à la rédaction, avoir « identifié une fuite de données » ayant eu lieu avant le 27 juin. Une telle exfiltration serait cohérente avec les pratiques de double extorsion des acteurs du rançongiciel et, notamment, de l’enseigne Cactus suspectée d’être impliquée. Cette déclaration survient avant qu’une quelconque revendication de cyberattaque ait été constatée – contrairement à une pratique encore répandue.

Dans sa déclaration, l’ESN indique que les éléments exfiltrés « concernent des données non considérées comme sensibles au regard du RGPD, liées à un nombre limité de clients qui ont tous été immédiatement informés ». Et de préciser : « les autorités compétentes ont également été averties et nous poursuivons nos mesures de remédiation et de sécurisation ».

[Article original, le 3 juillet 2024] Que se passe-t-il chez Synertrade ? Plusieurs clients de la filiale d’Econocom, des deux côtés du Rhin, se sont tournés vers LeMagIT avec cette question, ce lundi 1er juillet, évoquant une isolation de son système d’information et l’interruption de certains services.

Sollicitée par la rédaction, la direction de la communication de l’entreprise de services numériques (ESN) fait état d’une « alerte concernant Synertrade, reçue le jeudi 27 juin, laissant présager d’un potentiel incident de sécurité ». 

Dans une déclaration adressée à la rédaction par e-mail, Econocom indique que, « immédiatement, et conformément à notre plan de réponse à incident, tous les flux informatiques du SI de Synertrade vers l’extérieur ont été coupés et une investigation détaillée a démarré avec notre SOC interne ».

Qui plus est, « les clients de Synertrade et les équipes internes ont été informés, et le service a été réouvert depuis lundi 1er juillet matin de manière progressive afin de préserver nos clients de tout risque éventuel ». 

L’enquête a permis d’identifier « un logiciel suspect » et les marqueurs techniques associés « ont été partagés avec la communauté InterCERT et les autorités compétentes ». Selon Econocom, « aucune compromission de données clients ou de données à caractère personnel n’a été constatée ». La nature et l’identité du logiciel « suspect » ne nous ont pas été précisées, à l’heure où nous publions ces lignes, ni même la manière dont il a été introduit. 

Tout en précisant que l’analyse est toujours en cours, l’ESN indique que « le modus operandi laisse à penser qu’il pourrait s’agir d’une action du groupe Cactus. Cependant, ce point reste à confirmer ». Et de souligner que le maliciel découvert était fortement maquillé : « seul un scan très “agressif” a permis de l’identifier ».

Selon Econocom, « du fait de l’étanchéité du réseau de Synertrade vis-à-vis de celui du groupe Econocom, l’incident reste circonscrit au périmètre de Synertrade ».

Synertrade fournit des solutions dites de source-to-pay utilisées pour gérer la chaîne logistique. Parmi ses clients apparaissent de grands comptes tels que AG2R La Mondiale, AGCO, Auchan, Bonduelle, BASF, CMA-CGM, Edeka, ou encore Eon et l’autorité portuaire de Hambourg.