Cyberattaque : comment déterminer quelles données ont été volées ?

Souvenez-vous : le 11 novembre 2022, Thales communique le lendemain de la divulgation, sur le site vitrine de la franchise LockBit 3.0, de données présentées comme ayant été volées au groupe lors d’une cyberattaque. Cette dernière avait été revendiquée le 31 octobre. 

Le communiqué de presse est affirmatif : « Thales est capable de confirmer qu’il n’y a pas eu d’intrusion dans ses systèmes d’information ». Mieux encore, « les experts en sécurité de Thales ont identifié l’une des deux sources probables du vol » de données.

Si le groupe se permet d’être aussi affirmatif, c’est pour plusieurs raisons. La première, c’est le renseignement sur la menace : durant l’été, les équipes de Thales en la matière avaient repéré des identifiants compromis, concernant deux « thalésiens » et un partenaire industriel du groupe. Les mots de passe des deux premiers sont réinitialisés, pas celui du troisième. Il sera vendu fin septembre. 

Le compte en question permet d’accéder à un portail d’échange de fichiers volumineux. C’est là que se trouve la seconde explication à la communication de Thales : le groupe a pu surveiller l’assaillant. Stéphane Lenco, RSSI du groupe, expliquait à la rédaction en début d’année : « nous observons l’acteur [de la menace] se promener, entre le 26 et le 30 septembre, cherchant à établir ce à quoi il peut accéder. Il télécharge tout ce qu’il peut ». 

Enfin, il y a le téléchargement des données divulguées : il permet de valider les évaluations antérieures quant à la nature et la quantité des données volées. 

La grande majorité des victimes de cyberattaque ne dispose ni du renseignement sur les menaces susceptibles de générer des alertes avancées ni de la supervision permettant de suivre un éventuel assaillant et ses actions, voire même de les retracer. 

Ce n’est pas pour rien que la liste des fichiers volés, au moins partielle, constitue l’une des premières demandes des victimes – ou de leurs représentants – de cyberattaques, lors des échanges avec leurs assaillants.

En l’absence de discussion, c’est au moment de la divulgation qu’est généralement découvert ce qui a été volé. Mais la collecte des données divulguées et leur analyse peuvent être difficiles et prendre du temps. D’une certaine manière, c’est une bonne nouvelle pour beaucoup de clients et partenaires de victimes de cyberattaque : télécharger un téraoctet de données via Tor, sans mécanisme d’optimisation, c’est lent dans une proportion largement rédhibitoire. Et sans compter avec la disponibilité plus ou moins aléatoire des infrastructures des cybercriminels. 

Reste toutefois un bémol : il n’y a aucun moyen d’être sûr à 100 % que ce qui est divulgué correspond vraiment à tout ce qui a été volé.