Le groupe Thales, présent à Toulouse (Haute-Garonne) à travers ses activités spatiales, serait victime depuis lundi 3 janvier d'un rançongiciel. Depuis des mois, plusieurs entreprises sont victimes de ces attaques, comme par exemple le groupe Pierre Fabre. Explication sur un phénomène qui touche toutes les sociétés.
"À ce stade, il n'y a aucune preuve factuelle de cette attaque, néanmoins, nous continuons à conduire des investigations, la sécurité de nos données étant une priorité." Le groupe Thales, présent à Toulouse (Haute-Garonne) à travers ses activités spatiales, est-il victime d'une attaque d'un ransomware ou rançongiciel ?
C'est en tout cas ce que revendiquent, lundi 3 janvier, des cybercriminels se cachant derrière le logiciel malveillant LockBit 2.0. Le groupe d'électronique français spécialisé dans l'aérospatiale, la défense, la sécurité et le transport terrestre aurait treize jours pour payer une rançon avant la diffusion de données volées.
Au début de l'année 2021, le groupe Pierre Fabre, basé dans le département du Tarn, avait été victime d'une telle cyberattaque nécessitant l'arrêt de sa production industrielle. La France est le troisième pays le plus touché au monde par ce type d'attaques informatiques.
Noam Hamnich est responsable d'audits de l'entreprise toulousaine spécialiste de solutions de cybersécurité, ITrust. Il nous explique ce qu'il faut savoir sur ces fameux rançongiciels qui touchent les PME françaises aux centres hospitaliers, en passant par les grands groupes et les collectivités locales.
Les rançongiciels : des logiciels d'extorsions
Les rançongiciels ou ransomwares sont des logiciels malveillants qui prennent en otage les données d'une entreprise qu'ils vont coder. "C’est la nouvelle mode, explique Noam Hamnich de Itrust. Car cela marche relativement bien, cela fait relativement peur et cela peut rapporter des gains énormes pour peu de chances de se faire avoir." Le stratagème est relativement simple : un mail piégé (fishing) est envoyé à un salarié de l’entreprise. Une fois le courrier ouvert, le virus est activé et travaille tout seul à distance.
Le ransomware utilisé contre Thales se nomme LockBit 2.0. "C’est un groupe de pirates très expérimentés qui vont développer un logiciel et être ensuite contactés par d’autres personnes. Ce sont ces derniers qui vont déployer le ransomware. Ils reverseront une petite commission à ceux qui ont développé le logiciel." Derrière ces attaques : le hacker de génie dans son lycée qui se dit "je vais faire un peu d’argent en piratant ces entreprises" ou des groupes de cyberattaquants, très connus et très bien organisés, proches de la mafia.
Des attaques de plus en plus nombreuses
La France est l'un des pays les plus attaqués en matière de ransomware. La société toulousaine, ITrust, réalise, rien que pour les questions d'intrusion de ce type, 250 audits techniques par an. "Nous avons beaucoup de demandes pour faire des réponses à incidence pour ce type de problématiques, assure Noam Hamnich. Des entreprises vont nous contacter, car ils ont un ransomware sur leur réseau. Ils paniquent et ils contactent des compagnies de cybersécurité, comme la nôtre. C’est une attaque qui fait beaucoup de bruit actuellement et elle n’est pas prête de s’arrêter."
Des rançons trop souvent payées
Les rançons réclamées lors de ces cyberattaques sont généralement payées. D'après Wavestone, 20 % des demandes de rançons reçues par les multinationales françaises sont réglées. Les montants se montent de quelques centaines d'euros à quelques millions. "La petite entreprise qui fait un chiffre d’affaires de 10 millions pour 10 salariés, si on leur demande de payer 5000 euros pour récupérer leur activité. C’est fort probable qu’ils le fassent". Mais selon Noam Hamnich, "les gens sont de plus en plus sensibilisés et le font de moins en moins." Payer une rançon n’est plus recommandé, notamment par l'Anssi.
Sous-estimation du risque de la part des entreprises
Du matériel informatique bien trop vieux et une sécurité rarement mise à jour. Voici les principales raisons permettant la propagation des logiciels ransomwares. Un constat partagé par Noam Hamnich : "Ce sont des défauts classiques d’une entreprise qui ne fait pas d’audits de façon régulière. Et c’est via ces vecteurs-là que les ransomwares infectent un réseau. Les entreprises sous-estiment l’utilité des mises à jour et celle de réaliser des audits de sécurité informatique."
Principale solution au problème : effectuer de la prévention "à travers des audits de sécurité pour déceler la vulnérabilité des entreprises et donner les bonnes pratiques aux salariés pour se protéger."
Un coup de bluff LockBit 2.0 ?
Le groupe Thales assure n'avoir reçu aucune demande "directe" de rançon. "Il faut savoir qu’avec Lockbit 2.0 parfois ce n’est pas l’entreprise même qui est attaquée, mais un sous-traitant possédant des fichiers de la société visée, souligne l'employé de ITrust. L'objectif "gagner en crédibilité" et "obtenir des rançons plus importantes."
La rançon n'est pas la conséquence la plus importante de ce type de chantage. "C’est la perte d’activité, assure Noam Hamnich. Une fois que les fichiers sont chiffrés, l’activité est à l’arrêt. C’est donc une grosse perte de chiffre d’affaires." Comme ce fut le cas pour le groupe Pierre Fabre. Une entreprise victime d'un ransomware voit aussi son image se dégrader auprès de ses clients, notamment lorsque des listings privés sont diffusés sur internet. "Les clients ont donc beaucoup moins confiance dans ces sociétés qui se sont faites attaquer."