En Suède, une cyberattaque contre une ESN affecte des centaines d’administrations locales

Inconnue en France, L’ESN Miljödata fournit des services IT utilisés par 80 % des municipalités suédoises, selon la presse locale. Mais également par l’université d’Örebro et plusieurs régions.

Depuis ce samedi 23 août, Miljödata ne fournit plus ces services : ses systèmes ont été victimes d’une cyberattaque avec ransomware. La rançon demandée s’établit à 1,5 bitcoins, soit un peu moins de 150 000 euros au cours actuel de la crypto-devise.

« Nous travaillons très intensément avec des experts externes pour déterminer ce qui s'est passé, ce qui a été affecté et qui a été affecté, et pour rétablir le fonctionnement du système », a indiqué Erik Hallén, PDG de Miljödata.

En première réponse à l’attaque, l’ESN a isolé ses systèmes. Ces derniers sont notamment utilisés dans la gestion des ressources humaines. Selon Erik Hallén, environ 200 collectivités territoriales sont affectées dans leurs activités. Des écoles sont également concernées.

Compte tenu de son impact indirect, cette cyberattaque rappelle celle ayant touché l’ESN allemande Südwestfalen-IT (SIT-NRW), basée à Siegen en Rhénanie-du-Nord–Westphalie, fin 2023. Au total, SIT desservait 73 clients à l’époque, dont toutes les municipalités de Siegen-Wittgenstein. Un an plus tard, la presse locale n’a pas manqué de commémorer l’incident dont certains clients finissaient seulement de pleinement se relever. 

Mais cette attaque rappelle aussi celle avant touché Tietoevry, déjà en Suède, dans la nuit du 19 au 20 janvier 2024 : 120 administrations locales avaient alors été affectées, et quelque 60 000 utilisateurs finaux. 

C’est l’effet de bord inévitable des cyberattaques contre les ESN. Et elles ne manquent pas. Au premier trimestre 2022, l’Agence nationale de la sécurité des systèmes d’information (Anssi) disait avoir « traité 18 compromissions » ayant affecté des ESN en 2021, contre 4 l’année précédente.

L’Anssi soulignait alors le « risque de propagation rapide d’une attaque qui peut parfois concerner un secteur d’activité entier, ou une zone géographique précise, notamment lorsque l’attaque cible une entreprise de service numérique locale ou spécialisée dans un secteur d’activité particulier ».

Huit cas étaient connus publiquement pour 2021 : Infovista, Berger-Levrault, Solware, LinkOffice, Maitrex, Idline, un prestataire de la ville du Cannet des Maures – Inetum – ou encore Xefi – du moins selon l’un de ses clients et les allégations d’Everest et ce que suggèrent les données divulguées par le groupe début octobre 2021.

L’année 2023 nous a apporté d’autres exemples, avec notamment les clients de Coaxis – établissements de soins, laboratoire d’analyses médicales, cabinets comptables, etc. – à partir du 8 décembre.

Le même jour, de l’autre côté des Alpes, une autre ESN faisait la même malheureuse expérience : WestPole. Là, de nombreuses collectivités territoriales ont été affectées. Wired expliquait alors que « les inconvénients les plus importants concernent les services offerts par Pa Digitale et les sites des municipalités ». Et les institutions utilisant les services de Westpole sont nombreuses, jusqu’à l’Autorité nationale anticorruption, le régulateur des télécommunications, ou encore le Conseil supérieur de la magistrature ».

Un mois plus tôt, une autre ESN allemande, Designa Verkehrsleittechnik, était victime d’une cyberattaque. Ses solutions sont utilisées par de multiples parkings payants, dans divers pays. Outre-Rhin, certains à Pforzheim ou encore Ulm ont dû, un temps, laisser leurs barrières levées. 

Outre-Atlantique, autour du 28 novembre 2023, HTC Global Services a été frappé par une cyberattaque, depuis revendiquée par Alphv/BlackCat. Plusieurs hôpitaux avaient été affectés.