Ransomware : comment les transports Fatton se remettent d’une cyberattaque avec Conti

Sylvain Fatton, patron du transporteur français éponyme, n’avait pas fait mystère de la mésaventure dans son entourage : le groupe a été victime d’une cyberattaque impliquant le ransomware Conti, mi-avril.

Joint par téléphone, Sylvain Fatton retrace les événements : « cela s’est produit le 17 avril au soir. Les attaquants semblent être entrés le 14 ou le 15 avril […] Le 18 au matin, mon DSI m’appelle pour me prévenir et à 9h, nous avons une réunion avec notre partenaire technique et notre assureur ».

« Plusieurs fois par jour, nous avons passé les scripts Microsoft. Nous avons même réduit la surface d’attaque notamment en désactivant OWA. »

Le DSI du groupe, Nicolas Korent, estime que l’intrusion initiale est venue par le biais d’un courriel piégé. Le serveur Exchange de l’entreprise est resté affecté par la vulnérabilité ProxyLogon pendant environ deux semaines, début mars, mais le DSI est formel : si le déploiement de la mise à jour a dû attendre un peu en raison de contraintes de production, le serveur a été surveillé de près avec les outils mis à disposition par Microsoft, avant applications des premiers correctifs, après, et encore après ceux d’avril. « Plusieurs fois par jour, nous avons passé les scripts Microsoft. Nous avons même réduit la surface d’attaque notamment en désactivant OWA », explique le DSI.

Confrontée à cette attaque, l’entreprise s’est retrouvée « à l’arrêt » pendant une semaine. Deux de ses trois systèmes de sauvegardes ont été affectés – un en local et un autre dans le cloud. Mais un troisième a permis d’engager la reprise : deux NAS utilisés alternativement, une semaine sur deux, pour sauvegarder toutes les machines virtuelles. Leur fonctionnement n’étant qu’intermittent, ils ne sont pas constamment accessibles : « c’est cela qui nous a sauvés », explique Sylvain Fatton. La comptabilité n’a pas non plus été affectée : elle est gérée sur un AS/400. L’activité a donc pu reprendre, mais la restauration des serveurs des agences est encore en cours.

« Nous avons restauré, et nous sommes repartis », résume Sylvain Fatton, tout en soulignant que l’analyse forensics n’a pas pour autant été négligée.

Les transports Fatton n’ont pas été seuls dans leur mésaventure. Ils ont pu compter sur un partenaire technique et leur assureur. Le premier leur avait été recommandé il y a un peu moins d’un an, lorsque la cyberassurance avait justement été souscrite… après le témoignage d’une autre entreprise du secteur qui avait victime de rançongiciel en juillet 2020. Aujourd’hui, Sylvain Fatton espère d’ailleurs pouvoir être remboursé au moins d’une partie des frais engagés pour la remédiation. Restera ensuite la question des pertes d’exploitation dont le calcul ne sera pas nécessairement aisé. Mais inévitable.

L’échantillon du ransomware Conti que nous avons trouvé et qui nous a amenés à solliciter Sylvain Fatton montre qu’aucune conversation n’a été engagée avec les attaquants : « j’ai refusé. Il n’était pas question de payer la rançon. Et il n’était pas question non plus de prendre le risque d’aller sur le DarkWeb qui aurait pu être utilisé pour ouvrir une nouvelle porte d’entrée dans notre système d’information ».

Le DSI de Fatton reconnaît que l’entreprise a eu une certaine chance dans son malheur : « on a eu de la chance de s’en apercevoir un dimanche matin. Si tous les postes de travail avaient été démarrés et affectés, l’ampleur de la tâche n’aurait pas été la même. Nous aurions bien plus souffert ».

Mais pas question de se reposer dessus pour autant : « nous avons tout de suite commencé à relever le niveau de sécurité », explique Sylvain Fatton. Et cela passe notamment par le déploiement d’un EDR sur l’ensemble du parc. Mais également la mise hors tension automatique des postes de travail le soir, entre autres. Les alertes remontées ne manquent pas, mais la visibilité sur les menaces a considérablement progressé.