Catégories
Association Attaque Entreprise de construction Etude informatique Non classé Ransomware Sécurité Technologie

L’incident technique de Paris Habitat était en fait un ransomware

La firme Paris Habitat confirme avoir été touchée par des ransomwares, ce qui a conduit à la paralysie de ses services pendant plusieurs jours. Cependant, Paris Habitat a refusé de payer la rançon et a reconstruit son système sur la base de sauvegardes.

Après près de trois semaines de silence radio, Paris Habitat fournit des détails sur la cyberattaque qui a paralysé ses services. Comme l’ont mentionné MagIT et plusieurs sources internes, c’est en fait un ransomware qui a affecté les services informatiques du bailleur social parisien. «L’attaque a eu lieu dans la soirée du 27 octobre et a été détectée par nos systèmes informatiques le 28 au matin», explique Marie Godard, directrice adjointe de Paris Habitat. «On pense que le vecteur d’intrusion est une attaque de phishing, mais notre enquête n’est pas encore terminée. Cependant, le groupe derrière l’attaque a été identifié comme étant Sodinokibi. « 

Il y a donc eu une demande de rançon, mais Marie Godard explique que « la question ne s’est pas posée. On s’est rendu compte que nous avions des sauvegardes audio remontant au mardi 27 octobre, ce qui nous a évité d’avoir à envisager de payer une rançon. » Paris Habitat garantit qu’il n’y a pas eu de perte ou de vol de données. Quinze jours après la première attaque, Sodinokibi n’a en fait publié aucune donnée sur son site Internet Paris Habitat, suggérant que les données des utilisateurs n’ont pas été effectivement volées.

Pour limiter l’attaque, la direction a choisi d’arrêter tout son système informatique mercredi avant de redémarrer progressivement les systèmes à partir de vendredi. « Nous avons immédiatement alerté nos partenaires directs de la situation », a déclaré le directeur adjoint. Paris Habitat héberge en effet un data center à Paris, qui héberge également AP-HP et Eau de Paris. Mais «la partition entre les différents SI a permis de limiter le risque de reproduction», assure Marie Godard.

En reconstruction
La continuité du service a été assurée en s’appuyant sur le réseau de gardiens d’immeubles de Paris Habitat: le site internet sur place a ainsi référé les locataires à leur concierge ou à un numéro de téléphone unique permettant l’Information. Un site Internet du personnel a également été mis en place pour leur fournir des informations sur le redémarrage des systèmes et les mesures à mettre en œuvre pour le confinement. Lorsque l’attaque a été déclarée quelques jours avant l’annonce du confinement, il valait mieux tuer deux oiseaux d’une pierre. «Le problème maintenant est de récupérer en s’assurant que tout est fiable», a déclaré le directeur adjoint, qui a déclaré que le groupe travaillait avec Frame IP pour remettre les systèmes en marche.

«Nous devons nous assurer que toutes les données sont fiables et que les machines des employés le sont également. Au total, donc, plus de 1 500 ordinateurs portables doivent être ciblés pour s’assurer qu’ils ne sont pas compromis. Selon le directeur adjoint, il y a déjà eu plus de 1 200 unités. Elle explique que les services sont progressivement redémarrés, puisque le site doit être de nouveau en ligne « avant la fin de la semaine ». Le groupe a déposé une plainte et BEFTI et OCLCTIC sont chargés de l’enquête. Un rapport a également été fait à la CNIL. Paris Habitat explique également avoir prévenu Anssi de l’attaque.

Sodinokibi ou Revil fait référence à un groupe de cybercriminalité particulièrement actif, spécialisé dans les attaques de ransomwares. Apparu en avril 2019, ce ransowmare fonctionne sur le modèle de RaaS (Ransomware as a Service), ce qui signifie qu’il loue ses malwares à des groupes tiers, «affiliés», responsables de la réalisation des attaques, alors que les créateurs du malware sont normaux responsable de la négociation et de la récupération de la rançon puis de la redistribution des gains. Revil est un groupe connu pour télécharger et revendre les données qu’il vole à ses victimes via un site dédié. Mais jusqu’à présent, le groupe n’a pas revendiqué la responsabilité de l’attaque ou téléchargé des données appartenant à Paris Habitat.

Catégories
Android Apple Association Bitcoins COVID-19 Ekans hyères informatique Mac MacOS Ragnar Locker Ransomware revil Sécurité sodinokibi Technologie vidéo

Mattel a été victime cet été d’un ransomware

Le fabricant de jouets a été victime d’une attaque de ransomware l’été dernier. L’attaque a été rapidement interrompue et n’a eu aucun impact significatif sur l’entreprise.

Mattel a contenu l’attaque d’un ransomware

Le fabricant de jouets américain Mattel a révélé mercredi qu’il avait subi une attaque de ransomware qui paralysait certaines fonctions commerciales. Néanmoins, la société affirme s’être remise de l’attaque sans pertes financières importantes.

Mattel a contenu l’attaque
L’incident a eu lieu le 28 juillet, selon un formulaire trimestriel 10-Q, que la société a déposé plus tôt dans la journée auprès de la Securities and Exchange Commission des États-Unis.

Mattel a déclaré que l’attaque par ransomware avait initialement réussi et chiffré certains de ses systèmes.

«Après la découverte de l’attaque, Mattel a commencé à mettre en œuvre ses protocoles de réponse et à prendre une série d’actions pour arrêter l’attaque et restaurer les systèmes affectés. Mattel a contenu l’attaque et, bien que certaines fonctions commerciales aient été temporairement affectées, Mattel a rétabli les opérations », explique la société.

Aucun impact sérieux
Depuis plus d’un an, les gangs de ransomwares volent des données et se lancent dans un double stratagème d’extorsion qui menace de publier les données de l’entreprise piratée sur des sites Web publics appelés «sites de fuite» à moins que les victimes ne paient la rançon souhaitée.

Cependant, le fabricant de jouets explique qu’une enquête ultérieure a conclu que le gang de ransomwares derrière le cambriolage de juillet n’avait volé « aucune donnée commerciale sensible ou des données sur les clients, fournisseurs, consommateurs ou employés ». .

Dans l’ensemble, Mattel semble avoir échappé à l’incident avec seulement un bref temps d’arrêt et sans aucune blessure grave, ce qui est rarement suffisant pour être stressé. De nombreux exemples montrent des pertes financières de plusieurs dizaines de milliers de millions de dollars, comme c’est le cas avec Cognizant ou Norsk Hydro. Mattel souligne que l’attaque du ransomware a légèrement « eu aucun impact significatif sur ses opérations ou sa situation financière. »

Catégories
Association hyères informatique Sécurité Technologie

EteSync, sortie du protocole version 2

Synchronisation sécurisée, cryptée de bout en bout et respectueuse de la confidentialité de vos contacts, calendriers et tâches (à l’aide de Tasks.org et OpenTasks) et EteSync Notes pour les notes .

EteSync, sortie du protocole version 2

Le protocole vous permet de gérer vos contacts, événements et tâches, qui sont tous cryptés de bout en bout. On pourrait donc comparer l’utilisation de ce protocole avec CalDAV et CardDAV, mais avec l’impossibilité du serveur distant de savoir ce qui est stocké. De plus, ce protocole est journalisé, c’est-à-dire que chaque action effectuée (création, modification et suppression) est enregistrée. Cela donne par exemple Possibilité de revenir facilement en arrière (un contact supprimé, trouver et annuler par exemple la suppression).

Notez que le protocole dans sa version actuelle permet déjà des applications intéressantes comme le partage de calendrier entre différents utilisateurs. LIEN

Catégories
Association informatique Ransomware Sécurité Technologie

Le RGPD contre les ransomwares?

Une norme de cybersécurité doit être traitée comme les règles de la loi sur la protection des données en réponse aux cyberattaques, y compris les incidents de ransomware, suggère un expert en sécurité.

Le phénomène des ransomwares est passé d’individus à une menace réelle et fréquente qui peut entraîner des dommages catastrophiques aux réseaux d’entreprise, la perte des dossiers clients et la fuite potentielle d’informations confidentielles. Les variantes de ransomware incluent des logiciels comme WannaCry, Petya, Ryuk et Gandcrab, mais il y en a beaucoup, beaucoup plus. Lorsqu’un système informatique est compromis, ce type de malware crypte les disques et les fichiers et exige le paiement d’une rançon en échange d’une clé de décryptage.

Selon Check Point, le nombre d’attaques quotidiennes de ransomwares dans le monde a diminué de moitié au cours des trois derniers mois, les pirates tirant parti des perturbations opérationnelles et du passage rapide au travail depuis leur domicile causés par Covid-19.

Après cette période de reconnaissance, les opérateurs de logiciels malveillants sont désormais plus susceptibles d’aller directement contre les sauvegardes. Si ceux-ci peuvent être chiffrés avant que les administrateurs informatiques ne soient avertis d’une infection, cela supprime le réseau de sécurité et les cyber-attaquants sont plus susceptibles d’être soumis à un chantage.
Le problème est que peu de victimes de ransomwares choisissent d’aller à la police, et certaines organisations paient juste pour couvrir l’incident, selon Europol. Plus les victimes paient, plus l’activité criminelle devient lucrative, et l’industrie des ransomwares continue de gagner du terrain à mesure que de plus en plus de pirates adoptent ce type d’attaques.

Combinez la sous-déclaration d’un incident, l’acceptation de l’extorsion et le nombre croissant de hackers intéressés par cette activité et vous avez un problème. Ce défi a été récemment soulevé par l’Office of Foreign Assets Control (OFAC) du Trésor américain, qui a publié des directives sur le moment où le paiement d’une rançon peut violer les sanctions américaines. «Les entreprises qui facilitent le paiement de rançons aux cyberacteurs au nom des victimes, y compris les institutions financières, les compagnies d’assurance qui proposent une cyberassurance et les entreprises qui pratiquent la réponse aux incidents, encouragent les demandes de paiements de rançon à la victime.

Une solution pourrait être de revenir à l’essentiel et de «mettre tout le monde sur un pied d’égalité», déclare Ezat Dayeh en imposant des audits de sécurité qui modélisent la manière dont le règlement général sur la protection des données (RGPD) de l’UE traite les responsables du traitement.

«Tout doit être contrôlé», ajoute Ezat Dayeh. «Vous devez être audité pour savoir ce que vous pouvez faire. Parce que cela donne au moins à l’entreprise une chance de se battre et lui permet de réfléchir à la manière de s’attaquer aux problèmes. Et s’ils ne le font toujours pas, et qu’on leur a dit «vous êtes vulnérable», cela devrait aller jusqu’au PDG, à mon avis. « 

Le RGPD s’efforce de traiter les organisations et les contrôleurs de données sur un pied d’égalité, et avec des lacunes, il y a la possibilité d’amendes basées sur le chiffre d’affaires annuel d’une entreprise.

Si les audits de sécurité étaient traités de la même manière avec des règles que tout le monde peut essayer de suivre, cela pourrait promouvoir un meilleur niveau de cybersécurité ainsi qu’une prise de conscience de la manière dont les organisations devraient se maintenir. une position de sécurité raisonnable – ce qui est particulièrement important à un moment où les attaques potentiellement destructrices, y compris les demandes de rançon, sont en augmentation.

Catégories
Association Attaque hyères informatique maze Ransomware

Maze ransomware arrête ses opérations et refuse de créer un cartel

Maze ransomware arrête ses opérations

Le tristement célèbre gang de ransomwares Maze a annoncé aujourd’hui qu’il avait officiellement fermé son opération de ransomware et ne divulguerait plus les données des nouvelles entreprises sur leur site.

La semaine dernière, BleepingComputer a rapporté que Maze avait cessé de crypter les nouvelles victimes depuis la mi-septembre, effaçant leur site de fuite de données et faisant chanter leurs dernières victimes.

Aujourd’hui, Maze a publié un communiqué de presse intitulé «Le projet est fermé», dans lequel ils disent qu’ils sont fermés et que toute autre opération de ransomware utilisant son nom est une arnaque.

« Maze Team Project annonce qu’il est officiellement fermé.
Tous les liens vers notre projet utilisant notre marque, nos méthodes de travail doivent être considérés comme une arnaque.

Nous n’avons jamais eu de partenaires officiels ni de successeurs. Nos spécialistes ne travaillent avec aucun autre logiciel. Personne et ne pourra jamais accueillir de nouveaux partenaires sur notre site d’actualités. Le cartel du labyrinthe n’a jamais existé et n’existe pas maintenant. On ne le trouve que chez les journalistes qui en ont écrit. « 

BleepingComputer a demandé à Maze s’ils seraient prêts à libérer les clés de décryptage principales une fois qu’ils ont fermé leur site de support, comme cela a été fait avec Crysis, TeslaCrypt et Shade. Nous n’avons pas reçu de réponse à cette question.

Maze Ransomware est apparu en novembre 2019 lorsqu’ils ont volé des fichiers non chiffrés, puis les ont rendus publics après qu’une victime n’a pas payé. Peu de temps après, d’autres opérations de ransomware ont commencé à copier cette double stratégie d’extorsion, qui est maintenant devenue courante dans presque toutes les opérations de ransomware.

Labyrinth est connu pour avoir attaqué de grandes organisations bien connues telles que Southwire, City of Pensacola, Canon, LG Electronics et Xerox.

Les acteurs de la menace ont déclaré à BleepingComputer que certaines des filiales de Maze sont passées à une nouvelle opération de ransomware appelée Egregor, qui a récemment attaqué Crytek, Ubisoft et Barnes and Noble.

On pense qu’Egregor, Maze et un autre ransomware appelé Sekhmet ont été créés à partir du même logiciel.

Labyrinth nie avoir formé un cartel
En juin 2020, il a été remarqué que Maze Group avait ajouté des informations sur une victime d’une autre opération de ransomware appelée LockBit.

Pour en savoir plus sur cette collaboration entre Maze et LockBit, BleepingComputer a contacté les opérateurs de ransomware et a appris qu’ils travaillaient maintenant avec d’autres groupes pour partager des informations et des expériences.

« Dans quelques jours, un autre groupe apparaîtra sur notre site d’actualités. Nous voyons tous dans cette collaboration le chemin qui mène à des résultats mutuellement avantageux, tant pour les groupes de parties prenantes que pour les entreprises. »

«De plus, ils utilisent non seulement notre plate-forme pour publier les données de l’entreprise, mais aussi notre expérience et notre réputation et bâtir un avenir bénéfique et solide. Nous traitons les autres groupes comme nos partenaires et non comme nos concurrents. Les problèmes d’organisation sont à la base de tout succès. affaires », a déclaré Maze à BleepingComputer.

Après avoir appris cela, BleepingComputer a qualifié leur nouvelle collaboration de cartel de ransomware '', que les opérateurs de Maze ont rapidement adopté, comme le montre une capture d'écran de données divulguées sur le site Maze News Site.  »

Dans le post d’aujourd’hui, Maze déclare que tout cela est une fabrication et que « le cartel Maze n’existait que dans l’esprit des journalistes qui en ont écrit. »

La mesure dans laquelle ce « cartel labyrinthe » existait et la coopération entre ses membres est inconnue.

Catégories
Android Apple Association Attaque Bitcoins COVID-19 Ekans Etude EvilQuest GandCrab Hakbit Hôpital informatique Mac MacOS maze Nefilim NetWalker Ragnar Locker Ransomware revil Ryuk Sécurité Shade sodinokibi Technologie ThiefQuest

Ransomware de la semaine- octobre 2020 – Des hôpitaux assiégés

Ransomware de la semaine- octobre 2020 – Des hôpitaux assiégés

Cette semaine, nous avons assisté à une attaque concertée contre le secteur de la santé par des groupes de piratage utilisant le ransomware Ryuk. En outre, nous avons vu certaines grandes entreprises bien connues souffrir d’attaques de ransomwares, qui ont affecté leurs activités commerciales.

La plus grande nouvelle cette semaine est que le gouvernement américain a averti le secteur de la santé qu’il existe « des informations crédibles sur une menace accrue et imminente de cybercriminalité pour les hôpitaux et les prestataires de soins de santé américains ». À la suite de ces attaques, nous avons vu six hôpitaux ciblés cette semaine, dont l’hôpital Wyckoff, l’Université du Vermont Health Systems, le Sky Lakes Medical Center et St. Louis. Lawrence Health System.

Nous avons également été informés d’attaques de ransomwares contre des sociétés bien connues, telles que le fabricant de meubles SteelCase, la société de conseil informatique française Sopra Steria et la société d’électricité italienne Enel Group.

Enfin, un représentant de REvil connu sous le nom de UNKN a déclaré qu’ils avaient gagné 100 millions de dollars en un an et que le tristement célèbre gang de labyrinthe avait commencé à fermer son opération de ransomware.

Maintenant que le week-end approche, il est important que toutes les entreprises surveillent les activités suspectes sur leur réseau Windows et leurs contrôleurs de domaine et réagissent de manière proactive si quelque chose est découvert.

LIEN

Les contributeurs et ceux qui ont livré de nouvelles nouvelles et histoires sur les ransomwares cette semaine incluent: @PolarToffee, @VK_Intel, @struppigel, @BleepinComputer, @malwrhunterteam, @malwareforme, @ demonslay335, @jorntvdw, @Seifreed, @FourOctets , @, @Ionut_Ilascu, @DanielGallagher, @fwosar, @MarceloRivero, @Malwarebytes, @Amigo_A_, @GrujaRS, @ 0x4143, @ fbgwls245, @siri_urz, @Mandiant et @IntelAdvanced.

Catégories
Association informatique vidéo

Une cyberattaque généralisée sur plusieurs communautés, dont la Métropole d’Orléans

Un virus informatique, Emotet, a été actif dans un grand nombre de grandes entreprises et institutions françaises entre août et fin septembre. La Métropole d’Orléans, mais aussi la ville et au moins 14 des 18 académies de l’éducation nationale ont été ciblées.

Mag IT, un site spécialisé dans la cybersécurité, a révélé le 7 octobre que la Métropole d’Orléans ainsi que plusieurs grandes entreprises avaient été touchées en septembre par l’activité d’un virus cheval de Troie appelé Emotet. Comme Mag IT et France 3 l’ont découvert par la suite, l’attaque a également touché la commune d’Orléans et plusieurs académies, dont Orléans-Tours, mais aussi Nantes, Rennes, Amiens, Nancy-Metz, Strasbourg, Lyon, Grenoble, Montpellier, Toulouse, Aix-Marseille, Versailles. , Paris et Créteil. Inscrit à France 3, Metropolis a pu confirmer qu’un message d’alerte avait été envoyé fin septembre et que l’incident «avait été maîtrisé en 24 heures par la direction informatique». LIEN

Catégories
Association Attaque Etude informatique Non classé prix Ransomware Sécurité Technologie

Le Trésor américain traite les victimes de ransomwares comme des collaborateurs

Le Trésor américain traite les victimes de ransomwares comme des collaborateurs

Dans une directive émise par le département du Trésor américain, le gouvernement déclare que des sanctions peuvent être envisagées pour les entreprises qui paient une rançon après une attaque de ransomware. L’idée de sanctionner les paiements de rançon gagne du terrain outre-Atlantique.

Tout le monde déconseille fortement de payer la rançon, mais beaucoup le font. Aux États-Unis, un rappel du département du Trésor américain pourrait encore refroidir les entreprises ciblées contre les ransomwares: l’OFAC (Office of Foreign Access Control) a publié une directive sur le paiement d’une rançon, déclarant que les entreprises qui acceptent de céder à l’extorsion de groupes de cybercriminalité, dans certains les cas pourraient également être sanctionnés par les autorités américaines.

Cette nouvelle mesure ne s’applique pas à tous les paiements de rançon: la directive publiée par l’OFAC explique que seuls les paiements aux groupes concernés par des sanctions prononcées par l’OFAC sont concernés par cette mesure. Le document répertorie plusieurs acteurs bien connus du monde du ransomware qui ont été visés par les sanctions de l’OFAC: le créateur du ransomware Cryptolocker Eugene Bogachev, les deux développeurs iraniens du ransomware Samsam, les groupes nord-coréens Lazarus, Bluenoroff et Andariel et enfin Evil Corp groupe, connu pour avoir développé le malware Dridex et plusieurs ransomwares toujours actifs.

Pour l’OFAC, le paiement d’une rançon à ces groupes ou à leurs affiliés peut soumettre les victimes à une enquête pour contourner les sanctions gouvernementales. Les entreprises publiques, mais aussi les partenaires qui ont participé au processus de réaction à l’incident ou qui ont réalisé l’opération, pourraient donc être concernés. L’OFAC demande aux entreprises concernées par ce scénario de contacter ces équipes avant de payer une rançon. «Les paiements de rançon profitent aux acteurs malveillants et peuvent saper les objectifs de sécurité nationale et de politique étrangère des États-Unis. Pour cette raison, les demandes de licence impliquant des rançons requises du fait d’activités malveillantes rendues possibles par le numérique seront examinées par l’OFAC au cas par cas avec présomption de refus », précise l’OFAC dans sa communication.

L’affaire de piratage Garmin, qui aurait accepté le paiement d’une rançon de 10 millions de dollars en crypto-monnaie à des personnes affiliées au groupe Evil Corp, a peut-être demandé à l’OFAC d’émettre le rappel. Comme le rapporte ZDNet.com, plusieurs journalistes ont posé la question au département du Trésor américain au moment de l’annonce du paiement de Garmin.

Catégories
Android Apple Association Bitcoins COVID-19 Entreprise de construction Etude EvilQuest GandCrab Hakbit Hôpital hyères NetWalker Non classé Orange prix Ragnar Locker Ransomware Ryuk Sécurité sodinokibi Technologie ThiefQuest vidéo

Ransomware: Septembre 2020 sans précédent

La rentrée scolaire a été marquée par un nombre sans précédent de cyberattaques connues impliquant des ransomwares. Le fruit de la connexion entre plusieurs facteurs. Et ceux-ci ne suggèrent aucun règlement réel.

Ransomware: Septembre 2020 sans précédent

En septembre, nous avons enregistré près de 270 attaques de ransomwares dans le monde, une explosion par rapport aux mois précédents, alors que juin et août ont déjà été marqués par une activité intense des cybercriminels. Mais attention aux trompe-l’œil.

En France, nous avons dénombré 10 cas confirmés, auxquels s’ajoute un cas suspect, mais non confirmé à ce moment, vers le 8 août et à peu près le même en juillet. Les attaques confirmées sont répertoriées sur la chronologie que nous mettons à jour régulièrement. Sur Intrinsec, Cyrille Barthélemy rapporte 13 cas «en crise» en septembre contre 10 en août.

Et de préciser que sa capacité d’intervention n’était évidemment pas la même en plein été qu’en début d’année scolaire. Chez I-Tracing, Laurent Besset a noté 9 interventions sur le mois dernier contre 4 en dessous de la précédente. Chez Advens, Benjamin Leroux fait 3 interventions majeures et moins de 5 interventions plus petites. Mais toujours 150 détections de menaces qui pourraient conduire à une détonation de ransomware, principalement Emotet.

Début septembre, l’Agence nationale de sécurité des systèmes d’information (Anssi) a rapporté avoir traité 104 attaques de ransomwares depuis le début de l’année contre 54 sur l’ensemble de 2019. Et bien sûr, cela ne prend pas en compte les cas hors de son champ d’application.

Concernant la plateforme Cybermalveillance.gouv.fr, le directeur général de GIP Acyma, Jérôme Notin, a encore signalé 1.082 signalements de ransomwares début septembre depuis le lancement de la plateforme le 4 février, avec 44% d’entreprises ou d’associations et 10 % d’administrations ou de communautés. En septembre, Jérôme Notin a enregistré 131 demandes d’assistance, contre 104 en août et 122 en juillet.

En France, à ce stade, il semble difficile de parler d’une explosion. Mais si la tendance à la hausse semble moins prononcée que pour le reste du monde, la menace semble sans doute rester à un niveau élevé.

Il y a au moins deux explications possibles de la situation, qui suggèrent que la menace ne diminuera probablement pas dans un proche avenir. Nous les développons ci-dessous le long de la chronologie.

LIEN

Catégories
Android Apple Association Attaque Bitcoins COVID-19 Ekans Entreprise de construction Etude EvilQuest GandCrab Hakbit Hôpital hyères informatique Mac MacOS maze Nefilim NetWalker Non classé Orange prix Ragnar Locker Ransomware revil Sécurité Shade sodinokibi Technologie ThiefQuest vidéo

L’été meurtrier 2 (toujours pas le film), un ransomware.

La rentrée scolaire a été marquée par un nombre sans précédent de cyberattaques connues impliquant des ransomwares. Le fruit de la connexion entre plusieurs facteurs. Et ceux-ci ne suggèrent aucun règlement réel.

L’été meurtrier 2 (toujours pas le film), un ransomware.

En septembre, nous avons enregistré près de 270 attaques de ransomwares dans le monde, une explosion par rapport aux mois précédents, alors que juin et août étaient déjà marqués par une activité intense des cybercriminels. Mais attention aux trompe-l’œil.
En France, nous avons dénombré 10 cas confirmés, auxquels s’ajoute un cas suspect, mais non confirmé à ce moment, vers le 8 août et à peu près le même en juillet. Les attaques confirmées sont répertoriées sur la chronologie que nous mettons à jour régulièrement. Sur Intrinsec, Cyrille Barthélemy rapporte 13 cas «en crise» en septembre contre 10 en août.

Et de préciser que sa capacité d’intervention n’était évidemment pas la même en plein été qu’en début d’année scolaire. Chez I-Tracing, Laurent Besset a noté 9 interventions sur le mois dernier contre 4 en dessous de la précédente. Chez Advens, Benjamin Leroux fait 3 interventions majeures et moins de 5 interventions plus petites. Mais toujours 150 détections de menaces qui pourraient conduire à une détonation de ransomware, principalement Emotet.

Début septembre, l’Agence nationale de sécurité des systèmes d’information (Anssi) a rapporté avoir traité 104 attaques de ransomwares depuis le début de l’année contre 54 sur l’ensemble de 2019. Et bien sûr, cela ne prend pas en compte les cas hors de son champ d’application.

Concernant la plateforme Cybermalveillance.gouv.fr, Jérôme Notin, PDG de GIP Acyma, a encore signalé début septembre 1.082 signalements de ransomwares à ce jour depuis le lancement de la plateforme le 4 février, avec 44% d’entreprises ou d’associations et 10 % d’administrations ou de communautés. En septembre, Jérôme Notin a enregistré 131 demandes d’assistance, contre 104 en août et 122 en juillet.

En France, à ce stade, il semble difficile de parler d’une explosion. Mais si la tendance à la hausse semble moins prononcée que pour le reste du monde, la menace semble sans doute rester à un niveau élevé.

Il y a au moins deux explications possibles de la situation, qui suggèrent que la menace ne diminuera probablement pas dans un proche avenir. Nous les développons ci-dessous le long de la chronologie.