Celui qui s’est connecté trop vite sur son protonmail (1/2)
En novembre 2019, Edenred, la société des tickets-restaurants, est mise en difficulté par une attaque par rançongiciel.
Bonjour !
Voici le second épisode de Pwned, cette fois-ci consacré à une affaire plus proche de chez nous. Vous allez voir, cette histoire nous rappelle que le cyber est un espace gris, où il est parfois difficile de savoir qui est qui. Le récit étant long, l’épisode sera divisé en deux emails envoyés au cours du week-end.
Au fait, certains d’entre vous m’ont questionné sur la façon de retrouver les anciens épisodes. Alors, ma newsletter étant hébergée chez Substack, c’est très simple. Chaque envoi de mail se transforme automatiquement en post de blog à l’adresse suivante, pwned.substack.com. En prime, vous avez droit à affichage en thème sombre qui va comme un gant à la thématique traitée.
Si vous lisez d’ailleurs ce post sur le site ou si on vous a transmis ce mail, il est encore temps de vous inscrire:
Pour ce second épisode de Pwned, je vais vous parler d’une histoire découverte il y a un an au palais de justice de Paris.
Alors c’est vrai, il y a tellement de demandes de rançons qu’on en perd un peu le fil. Mais en novembre 2019, souvenez-vous, c’est Edenred, la société des tickets-restaurant, qui est visée par une attaque par rançongiciel. Ce qu’on sait moins, c’est que derrière cette première demande de rançon, il y en a eu une deuxième.
Les rançongiciels sont devenus en quelques années la machine à cash des cybercriminels. Une estimation pour 2020 table sur au moins 350 millions de dollars de gains (c’est vraiment un minimum). Le principe est simple: un logiciel, installé à votre insu, chiffre les données utiles de votre ordinateur (par exemple les photos, les documents bureautiques). Puis on vous réclame une rançon. Un paiement qui vous permettra de recevoir la clé de déchiffrement indispensable pour relire en clair les fichiers (enfin en théorie).
Après avoir longtemps visé les particuliers, les rançongiciels, opérés par leurs fabricants ou des affidés qui louent l’accès au logiciel, ciblent désormais les grandes entreprises ou les administrations. En anglais, on appelle cela le “Big Game Hunting”, que l’on pourrait traduire comme la chasse au gros poisson.
Cette forme de cybercriminalité est devenue une industrie à part entière. Il y a des développeurs qui codent le rançongiciel proprement dit, des hackers qui cherchent des points d’entrée chez des cibles potentielles, des affidés qui exécutent l’attaque et demandent la rançon, etc…
Une division des tâches qui rend le travail de la justice plus complexe. Rien ne dit que ce soit vraiment les mêmes personnes derrière deux attaques attribuées à REvil, par exemple. Même si il est quasiment certain que quelqu’un au sommet de la pyramide, a bien touché à chaque fois sa commission.
Fuite d’un rapport confidentiel
Revenons au début du mois de décembre 2019. Plusieurs jours après l’attaque par rançongiciel - on ignore quel est le gang impliqué - Edenred vient de remettre d’aplomb son système informatique. Les dégâts ont été limités: l’entreprise assure que le virus n’a pas eu le temps de se propager sur son réseau.
Mais alors qu’elle pense être tirée d’affaire, la société reçoit un nouveau message malveillant assorti d’une demande d’extorsion. Cette fois-ci, la nouvelle rançon se monte à plusieurs centaines de milliers d’euros. Puis l’entreprise reçoit un ultimatum. Si la rançon n’est pas payée, l’attaquant fera des dégâts.
Pour prouver qu’il ne raconte pas des craques, le mystérieux correspondant d’Edenred envoie le rapport confidentiel interne de remédiation sur l’attaque initiale. Un document hyper sensible qui raconte comment l’informatique a été relancée.
La remédiation, ce n’est pas un gros mot. C’est un terme du jargon informatique qui désigne les opérations de reconstruction et de renforcement du système informatique. Dans notre affaire, c’est une équipe d’ingénieurs de Microsoft qui sont venus apporter leur concours à Edenred.
Comme l’explique l’Anssi, l’agence nationale de cybersécurité, ces informaticiens sont chargés “de couper les moyens de communication de l’attaquant, de changer les accès qu’il a pu s’approprier et de réinstaller les systèmes compromis et ceux qui sont les plus sensibles”.
Damned. Si le rapport de remédiation est entre les mains d’un hacker, c’est qu’Edenred pédale donc toujours dans la semoule. Ce serait donc un coup finement joué de la part des attaquants, qui se seraient préparés plusieurs accès à l’informatique de leur victime pour lui mettre une très grosse pression?
C’est un scénario plausible, mais ce n’est pas celui qui sera privilégié ici. Car très rapidement, les investigations s’orientent vers la thèse d’un copycat. Soit un opportuniste, assez proche de l’entreprise, qui aurait tenté de profiter de la première attaque pour avoir sa grosse part du gâteau.
Je n’ai pas eu connaissance précisément des détails. Mais on peut supposer que l’utilisation d’un nouveau moyen de communication et le style de l’auteur ont rapidement fait comprendre à Edenred et aux enquêteurs qu’un nouveau maître-chanteur, qui n’avait rien à voir avec les premiers, s’était invité.
Et rapidement un premier suspect est identifié. Le résultat des investigations fait mal. Car les policiers de la Befti soupçonnent l’un des informaticiens de l’équipe de remédiation envoyée par Microsoft après la première attaque. Dit autrement, l’un des pompiers envoyé sur le brasier Edenred est suspecté d’avoir attisé les flammes de la crise !
On se retrouve demain pour la suite?
Bonne soirée,
Gabriel
PS: Pour me payer une bière - la très bonne Thiriez Lager par exemple - c'est ici.