Baccarat : la cyberattaque, côté pile et côté face

C’est le 19 septembre 2023 au matin que le groupe Baccarat découvre qu’il est victime d’une cyberattaque. Elle ne sera publiquement revendiquée par le groupe Black Basta que le 17 octobre suivant. 

Très rapidement, Baccarat active une cellule de crise. Le 22 septembre, les accès réseau sont coupés et l’information est communiquée très rapidement au niveau global. Le DSI, Stéphane Cordier, fait appel à Orange Cyberdefense, un prestataire avec qui il a déjà traversé une expérience similaire. « Lorsque vous êtes confrontés à une cyberattaque, ce n’est pas le moment de faire un appel d’offres. La plus grosse difficulté, c’est de gérer la crise, gérer la communication, les clients, le stress, l’accompagnement et la mobilisation des équipes. J’avais déjà travaillé avec Orange lors d’une précédente attaque, donc nous avons pu démarrer facilement », racontera-t-il quelques mois plus tard. Si les attaquants n’ont pas atteint les ressources cloud, 100 % des serveurs internes ont été chiffrés, ainsi que 20 % des postes de travail.

C’est le 19 septembre 2023 que ss et Boy, deux pentesters de l’enseigne Black Basta, indiquent avoir réussi à acquérir la maîtrise de contrôleurs de domaine. Mais leur emprise s’étend rapidement aux États-Unis et au Japon. Tramp, aussi connu sous le nom d’Oleg Nefedov, s’enquiert de la situation. « C’est lancé », lui répond ss.

Ses espoirs de plein succès ne sont pas particulièrement élevés : « c’est la France, qui sait… ils n’ont jamais payé. Du coup, nous les bloquerons dès que nous aurons leurs données ». De quoi suggérer que l’exfiltration n’est pas encore terminée à cette date.

C’est le 22 septembre que Tramp fait état du déclenchement du chiffrement sur l’infrastructure de Baccarat, mentionnant 281 serveurs, 4 instances vCenter et 20 ESXi. Deux autres victimes sont en phase de chiffrement au même moment.

Baccarat annoncera être victime de cette cyberattaque le 27 septembre 2023. De son côté, Black Basta jouera la carte des épisodes pour sa revendication de l’attaque, tentant de remettre deux fois la pression sur la victime et la pousser à céder au chantage. Mais sans trop compter dessus, donc. 

Si la page a rapidement été tournée du côté des attaquants, pour Baccarat, l’histoire a été bien différente. En 2024, Stéphane Cordier racontera ainsi une gestion de crise longue, avec une reprise progressive de l’activité à grand renfort d’accès 4G, déploiement d’EDR et généralisation de la MFA. Sans compter un grand chantier sur les environnements Active Directory.

Chaque marché avait des politiques de gestion différentes et la maîtrise interne de l’architecture AD était limitée : « nous avons repris la main et recentralisé la gestion des Active Directory. Nous avons la main sur l’AD du Japon, de l’Asie, mais pas des États-Unis dont l’équipe est plus aguerrie ». L’équipe informatique s’est aussi attaquée à un autre élément de sécurité totalement défaillant chez Baccarat, la segmentation du réseau. 

Une feuille de route à 18 mois a été établie pour qu’une telle attaque ne se reproduise pas, ou du moins que ses effets ne soient pas aussi dévastateurs.