Infections en série en France

Tandis que plusieurs entreprises françaises et internationales respirent suite à la disparition, momentanée ou définitive, des opérateurs derrière « Avaddon », d’autres souffrent en silence. Le ransomware « Conti-Ryuk » frappe fort en s’attaquant à huit firmes sur l’hexagone pour le seul jour du 17 juin 2021. Dans le même temps, les données personnelles comprenant le nom, l’âge, l’e-mail et numéro de téléphone concernant 1, 2 million d’individus inscrits à Pôle Emploi auraient fuité.

Le groupe d’opérateurs derrière le ransomware « Avaddon » est l’un des plus prolifiques. Le 11 juin 2021, il ajoutait un trophée de premier plan, à savoir la « Valley National Bank » . Elle est une holding bancaire régionale dont les actifs s’élèvent à 42 milliards de dollars et qui exploite 230 succursales dans le New Jersey, à New York, en Floride, en Alabama ainsi qu’à Long Island. Tandis que le compte à rebours affichait moins de 72 heures avant la publication de l’ensemble des données, black-out complet. Avaddon n’est plus. La raison de la fermeture soudaine n’est pas claire. La plus plausible est le rapprochement des forces de l’ordre à leur recherche, comme le bureau fédéral d’investigation (FBI) et le centre australien de cybersécurité (ACSC). Ils auraient décidé de prendre leur magot et de disparaître.

BleepingComputer a reçu un message prétendant venir du FBI, contenant un mot de passe et un lien vers un fichier ZIP protégé. C’est au total, 2 934 clés de décryptage, où chacune correspond à une entité spécifique. Emsisoft a publié un décrypteur gratuit que toutes les cibles infectées puissent l’utiliser pour récupérer leurs fichiers gratuitement. « Les récentes actions des forces de l’ordre ont rendu nerveux certains acteurs de la menace : voilà le résultat. Une personne est tombée, et espérons que d’autres tomberont aussi », a déclaré Brett Callow, analyste des menaces chez Emsisoft, à BleepingComputer.

21 attaques au mois de mai

Acer finance, Le Volcan, Axa étaient les entreprises chiffrées par Avaddon. Au mois de mai, pas moins de 21 attaques par ransomware sur le territoire français. Elles sont Acer Finance (12 mai/Avaddon), Axa Asie (15 mai/Avaddon), Mauffrey (18 mai/Conti-Ryuk), Arca Assurances (20 mai/Prometheus), Despretz (23 mai/Prometheus), Le Volcan (26 mai/Avaddon), Syndex (26 mai/Avaddon), Alma SAS (28 mai/LV), Cabinet Rémy Le Bonnois (31 mai/Everest), et Assurcopro (31 mai/Everest). Quant à Berger-Levrault, le 14 mai 2021, l’impact aurait été limité au réseau interne de l’entreprise et affecte également la téléphonie et la messagerie électronique. Fraikin communiquait le 25 mai, avoir fait l’objet d’une attaque de ransomware. Elle assurait qu’aucune donnée « n’a été touchée, volée, détruite, ni corrompue par ce virus ».

L’accalmie sera de courte durée. Dès le 8 juin, c’est le groupe « LV » qui s’attaque à l’entreprise Demarne Frères. Les opérateurs revendiquent l’usurpation de plus de 40 Go de données (finances, comptabilité, documents bancaires, assurances, bases clients). Les sociétés Funbreak et STAM le sont à leur tour et respectivement le 7 et 10 juin par « Conti-Ryuk ». Puis hier et aujourd’hui vendredi 18 juin 2021, « Conti-Ryuk » affiche avoir infecté Voltalia, Maitre Prunille, le groupe Iserba, Cerfrance Côtes-d’Armor, Brangeon groupe, Au Forum du Bâtiment SAS.

Mais c’est une révélation qui affole plus d’un million d’âmes en France. Un particulier est en possession du nom, âge, e-mail et numéro de téléphone de 1,2 million de personnes inscrites à Pôle emploi. Il y a quelques jours, un individu connu pour son business de commercialisation de données piratées annonçait vendre plus d’un million de comptes appartenant à des sociétaires de l’agence pour l’emploi française. Quelques heures après son annonce, il décidait de la retirer. « Je traite principalement avec de grosses structures commerciales qui économisent de l’argent sur la sécurité des données de leurs clients, explique-t-il. Ils embauchent des programmeurs bon marché et stupides qui font des erreurs triviales ». Bref, la sécurité internet à deux vitesses pour ce vendeur de données volées. Cette personne extrait des données qu’il affirme vendre « à différentes agences de marketing et à des particuliers ». Concernant Pôle Emploi, l’application pour smartphone semble être une des pistes de la faille permettant l’interception d’informations de plus d’un million d’assurés hexagonaux. « Quelqu’un m’a écrit en MP et m’a expliqué qu’il s’agissait d’une base de données gouvernementale sur les chômeurs. J’ai fait preuve d’empathie : je ne l’ai vendu à personne et je l’ai retiré de la vente […] Dans une période aussi difficile, les institutions étatiques comme Pôle-emploi sont d’une grande utilité pour la société, et j’ai décidé de ne pas ruiner leur réputation. » Heureusement que certains malfaiteurs ont un sens moral… Ainsi Jean de la Fontaine écrivit dans la fable du Corbeau et du Renard : « Tout flatteur vit aux dépens de celui qui l’écoute ».