Catégories
Attaque informatique Non classé Ransomware Technologie

Plusieurs unités françaises touchées par une cyberattaque de 2017 à 2020

Des entreprises françaises ont été victimes d’une longue campagne de cyberattaques. Une intrusion via la solution de surveillance Centreon et un état de fonctionnement de sandworm faisant référence à un groupe de cyberespionnage russe.

MAJ:  » L’attaque concerne une version open source obsolète du logiciel, déployée sans respect des recommandations d’hygiène de l’Anssi. Les clients de Centreon ne sont pas concernés.  »

L’Agence nationale de sécurité des systèmes d’information (Anssi) a mis en garde lundi contre la découverte d’un piratage informatique « affectant plusieurs appareils français » via le logiciel français Centreon, qui compte parmi ses clients de grandes entreprises et le ministère de la Justice. LIEN

L’attaque, qui a duré de fin 2017 à 2020, « rappelle les méthodes déjà utilisées par le groupe de renseignement russe Sandworm, mais elle ne garantit pas qu’il s’agit bien de lui », a déclaré Gérome Billois, spécialiste de la cybersécurité de Wavestone. . La durée de l’attaque avant sa découverte suggère que les attaquants sont « extrêmement discrets, plutôt connus pour être dans la logique du vol de données et de renseignements », a-t-il ajouté.

Air France, Airbus, EDF, Orange, RATP, Thales ou encore Total sont quelques-uns des noms utilisant Centreon, ainsi que le ministère de la Justice. Centreon revendique plus de 600 clients dans le monde, dont 70% ont leur siège en France.

Le policier de la cybersécurité en France fait des compromis qui ont été identifiés fin 2017 et jusqu’en 2020. C’est donc une découverte tardive qui indique une campagne de cyberattaque particulièrement discrète.

L’affaire rappelle l’énorme cyberattaque attribuée à la Russie, qui visait les États-Unis en 2020, alors que des pirates informatiques exploitaient une mise à jour d’un logiciel de surveillance développé par une société texane, SolarWinds, et utilisé par des dizaines de milliers d’entreprises et d’administrations à travers le monde.

Catégories
Attaque Non classé Ransomware Service informatique

L’hôpital de Dax complètement bloqué par un ransomware, dernier recours pour les RDV: Twitter!

L’attaque «a mis à plat les systèmes informatiques et le téléphone de l’hôpital avec un danger évident et évident pour les soins aux patients».

Après des mois d’attaques massives de ransomwares contre des entreprises et organisations françaises, un hôpital entier est désormais bloqué par une attaque informatique. Un ransomware bloque depuis mardi le fonctionnement du système informatique de l’hôpital de la ville de Dax (Landes). Le seul moyen de contacter l’hôpital est donc désormais le 15 ou le compte Twitter de l’entreprise.

« Au vu de l’ampleur de l’attaque », le parquet de Dax, qui avait initialement saisi l’enquête pour « accès frauduleux à un système de traitement automatisé de données », avait renoncé à compétence au profit du parquet de Paris, qui a compétence nationale en matière de cybercriminalité, A déclaré l’AFP. L’attaque «a mis à plat les systèmes informatiques et le téléphone de l’hôpital avec un danger évident et évident pour les soins aux patients».

Le malware a chiffré le contenu des disques durs sur la plupart des ordinateurs de l’établissement. « Les données n’ont pas été volées, elles sont toujours sur nos serveurs, mais elles sont cryptées et donc plus disponibles », a déclaré Aline Gilet-Caubère, directrice générale adjointe de l’hôpital du Sud Ouest.

L’attaque a des conséquences sur les soins
Outre le système informatique et le système téléphonique, l’attaque aura des conséquences sur les soins. Les outils de stérilisation, par exemple, mais aussi ceux de radiothérapie et de chimiothérapie, sont indirectement affectés par cette attaque. Le centre de vaccination Covid-19 de l’hôpital a également été contraint de fermer ses portes.

Des experts de l’Agence nationale de sécurité des systèmes d’information (Anssi) sont prêts à tenter de reprendre le contrôle. L’intervention de l’Agence dans ce type de situation a presque doublé en un an.

En septembre 2020, une attaque de ransomware contre un hôpital allemand a entraîné la mort. La patiente, qui avait besoin de soins médicaux d’urgence, était décédée après avoir été détournée vers un hôpital de la ville de Wuppertal, à plus de 30 km de sa destination d’origine, l’hôpital universitaire de Düsseldorf, qui a été victime d’une cyberattaque. C’était la première fois qu’une mort humaine était signalée comme étant indirectement causée par une attaque de ransomware.

Les attaques de ce type se sont multipliées ces dernières années. Le fonctionnement du CHU de Rouen a été gravement perturbé en 2019 après une attaque similaire. Des experts d’Anssi sont également intervenus, et la variante de ransomware utilisée aurait été Cryptomix Clop. En décembre 2020, les hôpitaux de Narbonne (Aude) et d’Albertville-Moûtiers (Savoie) avaient également été touchés par des ransomwares.

Face à ces attaques, la tentation de payer pour la récupération de données est grande. Mais en 2017, le Kansas Heart Hospital (Witchita, Kansas) a payé pour récupérer ses données en vain. Les ravisseurs ont refusé de déverrouiller le système d’information retenu en otage une fois la rançon payée et ont exigé un nouveau paiement.

LIEN

Catégories
hyères informatique Sécurité Service informatique

Les pirates de SolarWinds vendent des gigaoctets de données volées en ligne

Les codes sources de Microsoft, Cisco et SolarWinds ainsi que les outils de piratage de FireEye sont proposés pour un million de dollars.

Code source de Microsoft, Cisco Internal Vulnerability Manager, outils de piratage FireEye, fiche client SolarsWinds … Les prétendus hackers russes de ce hack, qui a touché plus de 250 organisations à travers le monde, viennent de créer le site « solarleaks.net », où ils vendent plusieurs gigaoctets des données volées à des entreprises piratées. Un site a été créé.

Les débits de données sont élevés. Comptez ensuite 600 000 $ pour les données Microsoft, 500 000 $ pour les données Cisco et 250 000 $ pour les données SolarsWinds. Les données de FireEye sont les plus abordables car elles ne valent «que» 50 000 $. L’entrepôt entier est offert pour aussi peu qu’un million de dollars. D’autres données seront publiées dans les semaines à venir. « Pensez-y comme un premier jet », disent les hackers.

Sécuriser votre informatique

Avez-vous un fort sentiment de déjà vu? Oui, cette façon de faire est très similaire au groupe Shadow Brokers, qui en 2016/2017 avait sorti des outils de piratage volés à la NSA et souhaitait en vendre d’autres sur Internet (même sous la forme d’un abonnement mensuel, lol). Si vous êtes intéressé, il est trop tard car l’adresse e-mail et les liens sur le site ne fonctionnent plus.

Quoi qu’il en soit, ce n’est probablement pas une offre de bonne foi. Les pirates de SolarWinds ont probablement été pilotés par une agence de renseignement russe. Le but est donc plus de créer une diversion et de ridiculiser les victimes que de gagner de l’argent.

Catégories
Attaque informatique Non classé Sécurité Service informatique vidéo

Les cyberattaques de novembre dernier ont frappé 390 000 personnes chez Capcom

En novembre 2020, Capcom a subi une attaque majeure sur ses serveurs. Et si l’on en croit les dernières informations sur ce sujet, des dizaines de milliers de personnes ont été touchées.

Jeux vidéo

Lors de cette cyberattaque, dont l’éditeur japonais a été victime, de nombreuses données personnelles ont été volées à la fois aux employés et aux utilisateurs. Les noms et adresses de ces derniers se rapportent. De plus, des informations confidentielles sur divers jeux comme Resident Evil Village et Monster Hunter Rise sont apparues sur Internet après l’incident.

Malheureusement, cet accident a eu plus de conséquences que prévu. Aujourd’hui, Capcom affirme qu’environ 390 000 personnes ont été directement touchées par la cyberattaque. C’est 40 000 de plus par rapport au communiqué de presse précédent. Les pirates ont également volé des documents financiers appartenant à l’entreprise.

134 000 joueurs touchés

En détail, Capcom mentionne le fait que les informations personnelles de 3 248 partenaires commerciaux, 3 994 employés et 9 164 anciens employés ont été volées de cette manière. En termes de joueurs, 134 000 fichiers ont été volés au service client japonais, 14 000 sur la boutique en ligne nord-américaine et 4 000 sur le site d’esports.

Catégories
Attaque Non classé Ransomware

Sprite Spider: La p’tite bête qui monte qui monte qui monte

Un nouveau ransomware

Dans combien de temps devriez-vous recevoir un ransomware, le groupe Sprite Spider émerge de l’ombre. Son point fort: utilise désormais un package de code ransomware efficace et difficile à détecter.

Lors de la récente conférence SANS Cyber ​​Threat Intelligence, deux responsables de la cybersécurité de CrowdStrike, Sergei Frankoff et Eric Loui, respectivement chercheur principal en sécurité et analyste principal du renseignement, ont donné des détails sur un nouveau joueur majeur de ransomware nommé Sprite Spider. Comme beaucoup d’autres attaquants de ransomwares, la cybercriminalité derrière les attaques de Sprite Spider s’est rapidement développée en capacité de sophistication et de négociation depuis 2015. Aujourd’hui, Sprite Spider est même sur le point de devenir l’un des plus importants. Acteurs de menace de ransomware 2021 avec un profil de menace comparable à celui des acteurs APT il y a cinq ou dix ans. L’émergence de Sprite Spider n’est pas surprenante étant donné – comme beaucoup d’autres gangs de ransomwares organisés – qu’elle attire des hackers qui sont souvent embauchés et payés par des acteurs travaillant pour le compte d’un pouvoir étatique. LIEN

Catégories
Attaque Etude hyères informatique Non classé presse prix Ransomware Ryuk Sécurité

Ryuk aurait réclamé plus de 150 millions de dollars

Suite à l’invasion d’entreprises à travers le monde, on dit que le groupe de rançongiciels Ryuk a mis 150 millions de dollars dans la poche avec le paiement d’une rançon.

Les opérateurs de ransomware Ryuk auraient gagné plus de 150 millions de dollars en Bitcoin en payant de l’argent de piratage à des entreprises du monde entier.

c’est pas très clair!

La société de renseignement sur les menaces Advanced Intelligence (AdvIntel) et la société de cybersécurité HYAS ont publié jeudi une étude qui suit les paiements effectués sur 61 adresses Bitcoin, précédemment attribuées et liées aux attaques de ransomware de Ryuk.

« Ryuk reçoit une partie importante de la rançon d’un courtier bien connu qui effectue des paiements au nom des victimes du ransomware », affirment les deux sociétés. «Ces paiements s’élèvent parfois à des millions de dollars, mais ils se comptent généralement par centaines de milliers. « 

AdvIntel et HYAS expliquent que les fonds extorqués sont collectés sur des comptes de dépôt, puis transférés au blanchiment d’argent. Ensuite, soit ils retournent au marché noir et sont utilisés pour payer d’autres services criminels, soit ils sont échangés dans un véritable échange de crypto-monnaie.

Mais ce qui a le plus attiré l’attention des enquêteurs, c’est que Ryuk a converti son Bitcoin en véritable monnaie fiduciaire à l’aide de portails de crypto-monnaie bien connus tels que Binance et Huobi – probablement via des identités volées. D’autres groupes de ransomwares préfèrent généralement utiliser des services d’échange plus obscurs.

Cette enquête met également à jour nos chiffres sur les activités de Ryuk. Les derniers chiffres étaient datés de février 2020, après que des collaborateurs du FBI se soient exprimés lors de la conférence RSA. À l’époque, le FBI affirmait que Ryuk était de loin le groupe de ransomware actif le plus rentable avec plus de 61,26 millions de dollars générés entre février 2018 et octobre 2019, selon les plaintes reçues par son «Internet Crime Complaint Center».

Cette nouvelle étude de 150 millions de dollars montre clairement que Ryuk a conservé sa place au sommet, du moins pour le moment.

Au cours de l’année écoulée, d’autres groupes de ransomwares – tels que REvil, Maze et Egregor – se sont également fait un nom et ont été très actifs et ont infecté des centaines d’entreprises. Cependant, à l’heure actuelle, aucun rapport ne permet d’estimer les sommes déclarées de ces groupes. L’enquête la plus récente de ce type était celle de la société de cybersécurité McAfee, publiée en août 2020, qui estimait que le groupe de ransomware Netwalker avait accumulé environ 25 millions de dollars de rançon entre mars et août 2020.

Catégories
Attaque informatique prix Ransomware Sécurité Service informatique Technologie

Les groupes ciblent les victimes qui ne cèdent pas à leur ransomware (avec des DDos)

Les ransomwares ou ransomwares étaient déjà de loin la plus grande menace cybernétique en 2020, et ils continuent de croître à un rythme alarmant.

« 10 jours pour changer leur décision. » C’est l’avertissement que le gang Avalon a envoyé à l’une de leurs victimes via leur blog. Le groupe criminel informatique a paralysé le système informatique d’une organisation avec son ransomware, et maintenant ils veulent forcer leur victime à payer une rançon en échange d’une promesse de revenir à la normale.

Augmenter la pression sur la victime

Pour y parvenir, les voyous utilisent une méthode d’extorsion qui est malheureusement populaire depuis plus d’un an: les menaces contre les violations de données. L’entreprise ne souhaite-t-elle pas récompenser les cybercriminels en payant une rançon? Eh bien, il devra gérer la crise provoquée par la fuite ou la vente de ses données clients: un incident qui risque de ternir encore plus son image et d’entraîner la résiliation de contrats encore nécessaires à sa survie.

Attaque DDoS

Comme si ce double chantage ne suffisait pas, Avalon ajoute une autre couche: « Le site est actuellement sous attaque DDoS et nous l’attaquerons jusqu’à ce que la société nous contacte. » En d’autres termes, même si la victime parvient à récupérer progressivement certains de ses outils et services, les cybercriminels sont obligés de les faire dysfonctionner d’une manière différente. Une attaque DDoS consiste à surcharger un site Web en lui envoyant un grand nombre de requêtes au point qu’il s’exécute lentement ou même cesse de fonctionner. Pour les cybercriminels aussi riches que les opérateurs de ransomwares, il s’agit d’une attaque bon marché car il vous suffit de louer quelques machines. Bien sûr, il existe de nombreux outils et méthodes pour gérer et absorber ce type d’attaque, mais c’est un autre problème auquel les victimes doivent faire face si les équipes de sécurité sont déjà débordées par la gestion des ransomwares.

Comme le souligne Bleeping Computer, Avalon n’est pas le premier gang à utiliser ce type de menace – deux autres l’ont fait dès octobre 2020 – mais cela pourrait être un signe que cette tendance se généralisera parmi les cybercriminels.

Cette pratique est une autre mauvaise nouvelle pour les victimes, confrontées à des voyous dont les moyens et l’imagination croissent à un rythme excessif. Certains commencent à harceler leurs victimes par téléphone, d’autres contre-communiquent en achetant des paris publicitaires sur Facebook. d’autres encore impriment leur note de rançon sur tous les photocopieurs de leurs victimes

Comment ne pas être tenté de payer la rançon quand la pression est forte? Aujourd’hui, tout le monde est d’accord sur le principe: les mauvais ne doivent pas être payés. Céder à leurs demandes, c’est les encourager à poursuivre leurs opérations; la rançon finance leur développement, de sorte qu’à chaque fois ils reviennent avec un modus operandi plus sophistiqué; et de plus, il n’y a aucune garantie que les cybercriminels respecteront leur résiliation du contrat: Parfois, les rançons doublent le montant demandé après une première validation de leur victime.

Beaucoup paient.

Parce qu’il est long et coûteux de restaurer votre système d’une autre manière et peut augmenter le fardeau de l’entreprise bien plus que payer une rançon. Parce que la pression est trop forte aussi. Menaces de fuite, pression sur les employés et maintenant DDoS, c’est trop de problèmes à gérer, trop de dommages potentiels pour l’entreprise.

Certes, les entreprises de sécurité réalisent parfois de petits gains par rapport aux cybercriminels. Mais parviendront-ils un jour à freiner le cercle vicieux qui équilibre leurs relations de pouvoir avec les gangs?

Catégories
Etude informatique Sécurité Service informatique Technologie

Des fuites de données critiques détruisent la vie de presque tous les citoyens brésiliens

C’est l’une des plus grosses fuites, gigantesque, dangereuse dans les détails des données et très facile à obtenir.

Des fuites de données critiques détruisent la vie de presque tous les citoyens brésiliens

Il est difficile d’imaginer un pire désastre. Mardi 19 janvier, la société de sécurité PSafe a identifié une fuite très inquiétante car elle permettait d’accéder à des données plus critiques de plus de 220 millions de Brésiliens, plus que la population dans son ensemble (et pour cause: la base de données contient également des données sur les personnes décédées. ).

Trois jours plus tard, le site spécialisé Tecnoblog a découvert que non seulement un voleur avait découvert la fuite et téléchargé les données (en août 2019), mais qu’il les avait également postées sur un forum de vente accessible à tous. Certaines des données peuvent être téléchargées gratuitement, le reste peut être acheté au détail.

L’une des raisons pour lesquelles nous parlons de données critiques est que la base de données contient le « Cadastro de Pessoas Físicas » (CPF) des victimes et, dans certains cas, même une photocopie de la carte où ce numéro est écrit. En France, le CPF correspond au numéro fiscal, l’identifiant associé au paiement de la taxe. La simple présence de CPF suffit pour considérer le risque de fraude ou d’usurpation d’identité.

Mais en plus, il est livré avec un certain nombre de données terriblement précises. Respirez profondément, voici une liste non exhaustive de ce que contient la base de données pour chacun, ou presque:

Nom, prénom, date de naissance, nom des deux parents, état matrimonial, niveau de scolarité.
Email, numéro de téléphone, adresse (nom exact de la rue, mais aussi coordonnées GPS).
Plusieurs équivalents du numéro de sécurité sociale et détail de certaines prestations régulières correspondant aux caisses complémentaires familiales françaises.
Détails sur le ménage: nombre de personnes, niveau de revenu.
Informations sur l’emploi: nom légal et pièce d’identité de l’employeur, type d’emploi, statut d’emploi, date d’emploi, salaire, nombre d’heures par La semaine.
Estimation du revenu: ce calcul prend en compte le salaire, le loyer ou encore l’encaissement d’une éventuelle rente. Ces données sont utilisées pour classer les personnes par niveau de classe sociale (faible, moyen, élevé) et par niveau de revenu.
Toutes sortes de données financières: détails de la cote de crédit; le nom du débiteur et l’ID du statut de la dette de la banque du mauvais payeur.
Avec tous ces éléments, le fichier, même au format texte, pèse plus de 14 gigaoctets. Dans le détail, il contient 37 bases de données distinctes, signe que l’auteur de l’infraction avait accès à l’ensemble du système d’une entreprise et pas seulement à une ou deux bases de données mal sécurisées.

Qui peut posséder une telle quantité de données critiques? Le détaillant a appelé le fichier « Serasa Experian », le nom d’une société de crédit brésilienne. Bien que la cybercriminalité ne puisse être tenue pour acquise, la base de données contient plusieurs calculs économiques utilisés par Seresa Experian, dont Mosaic, l’un de ses services de classification dédié au ciblage publicitaire. La société contrevenante a déclaré qu’elle avait ouvert une enquête mais n’avait jusqu’à présent trouvé aucune preuve de cambriolage dans son système.

En attendant d’en savoir plus sur les événements qui ont conduit à la fuite, le Brésil doit faire face à une crise nationale de cybersécurité et à une véritable crise de confiance dans les communications. La base de données est une opportunité en or pour les cybercriminels, petits et grands. Il permettra d’établir des hameçonnages massifs et de sélectionner les cibles les plus pertinentes parmi la quasi-totalité de la population. Plus précisément, les criminels peuvent cibler les personnes peu scolarisées, celles qui vivent dans une région particulière ou même s’attaquer aux revenus élevés. Pas besoin de chercher un moyen de les contacter, tout est dans la base de données. Ils peuvent repousser leur attaque par e-mail, téléphone ou lettre en fonction de leur cible.

D’autres utilisations peuvent avoir des conséquences encore plus importantes. Alors que la menace des ransomwares envahit les entreprises, ce type de fuite augmente considérablement le risque. Pour rappel, ce malware se propage aux victimes des systèmes d’entreprise et crypte tout ce qu’il trouve. Les logiciels d’entreprise (e-mails, progiciel bureautique, outils professionnels, etc.) deviennent inutilisables, tout comme les équipements informatiques (ordinateurs, copieurs, ports de sécurité, etc.) et les documents confidentiels ne peuvent plus être lus. C’est alors que les criminels exigent une rançon – allant de quelques centaines de milliers à des dizaines de milliers de millions d’euros – pour une promesse de lever le blocus des systèmes.

Pour pénétrer par effraction dans leur domicile, les intimidateurs ciblent les employés de l’organisation cible qui ont un niveau élevé de responsabilité et d’accès au réseau. L’objectif: infecter le patient zéro, qui infectera très probablement rapidement le reste du réseau. Ils créent donc des phishings sur mesure, qu’ils vivent de données collectées par eux-mêmes ou de fuites. C’est là que réside l’intérêt de la base de données attribuée à Serasa Experian. Il permet un ciblage direct des personnes d’intérêt telles qu’elles sont répertoriées comme telles dans le fichier. Mieux encore, il fournit plus que suffisamment de détails pour créer une arnaque de phishing très convaincante.

Bien que toutes les violations de données n’aient pas de conséquence, elles pourraient façonner les prochaines années avec la cybersécurité brésilienne.

Catégories
hyères informatique Sécurité Service informatique

Nissan: fuite de code source … en raison d’un compte administrateur avec mot de passe: admin

Un serveur Git utilisé par Nissan est resté exposé en raison d’une configuration incorrecte des identifiants qui permettent d’accéder à divers outils internes d’applications mobiles du constructeur.

En laissant la paire nom d’utilisateur et mot de passe par défaut lors de la configuration du serveur Git, il était facile pour tout le monde de se connecter à son compte Nissan North America et d’accéder aux différents fichiers de développement.

Innovation that excites

Informé par une source anonyme, Tillie Kottman, ingénieur logiciel basé en Suisse, a déclaré à ZDNet que divers codes sources étaient disponibles en raison d’une configuration non sécurisée des informations d’identification sur l’un des serveurs Git utilisés par Nissan North America.

Ainsi, le code source des applications mobiles Nissan NA, une partie de l’outil de diagnostic Nissan Assist, les outils distributeurs, les outils marketing, les services liés au véhicule et d’autres fichiers pouvaient être consultés librement.

NISSAN Hyères

Le serveur incriminé a été rapidement neutralisé après que les fichiers ont commencé à circuler sur Internet via des liens torrent sur Telegram et des sites de piratage dédiés.

Après avoir pris connaissance du problème et mis hors ligne le serveur Git contrefait, Nissan a commenté la fuite vers ZDNet: «Nissan a immédiatement enquêté sur l’accès incorrect au code source propriétaire de l’entreprise. Nous prenons ce problème au sérieux et sommes convaincus qu’aucune donnée personnelle sur les consommateurs, les détaillants ou les employés n’était disponible avec cet incident de sécurité. Le système concerné est sécurisé et nous sommes convaincus qu’il n’y a aucune information dans le code source exposé qui pourrait mettre en danger les consommateurs ou leurs véhicules. « 

Au printemps dernier, Mercedes a également rencontré une fuite de données, également due à une configuration incorrecte d’un serveur.

Catégories
Attaque Mairie NetWalker Ransomware Sécurité Service informatique Technologie

à La Rochelle et Annecy on ne chante pas!

Entre Noël et le jour de l’an, la ville de La Rochelle et la ville d’Annecy ont été victimes de cyberattaques. Malgré la paralysie des services et l’affichage des preuves de piratage, les deux administrations ont choisi de ne pas payer de rançon pour accéder aux données.

C’est la nouvelle star des malwares, les «ransomwares». Les hackers n’endommagent ni ne volent plus de données, ce qui les motive maintenant, c’est de l’argent, et pour débloquer une cyberattaque, ils exigent une rançon, d’où le terme «ransomware» ou «ransomware». vécu plus d’une semaine.

Lundi, les hackers du groupe Netwalker ont revendiqué la responsabilité de l’attaque, et il ne sera pas surprenant d’apprendre qu’ils sont russes. Pour prouver qu’ils étaient en fait les auteurs de cette cyberattaque, ils ont téléchargé des visuels comme preuve des données «récupérées». Cité par France Bleu, celui choisi garantit qu’il ne s’agit que « d’une capture d’écran de fichiers qui ne signifie pas que les informations qu’il contient sont extraites et exploitées ».

Cependant, les hackers demandent une rançon et ils menacent de publier les données «récupérées» sur une trentaine de serveurs de la ville. Leur ultimatum est de 14 jours, et un compte à rebours est mis sur les serveurs lorsque les employés de la mairie tentent d’accéder aux données. «Nous ne savons pas exactement ce qu’ils ont pris et nous n’avons actuellement aucune preuve qu’ils détiennent des données importantes», précise le Parisien des techniciens chargés de rétablir l’accès aux différents services, comme le civil statut, DRH ou services généraux.

Ils menacent de publier les données «récupérées»

Du côté de la ville, nous avons porté plainte et une enquête judiciaire est en cours. Et si jamais les données étaient vraiment mises en ligne, la mairie assure qu’elle avertira ses citoyens, mais dans l’immédiat, l’objectif n’est pas de céder au chantage. Un accident qui touche aussi l’urbanité d’Annecy, et bien que les 1.200 fonctionnaires n’aient plus accès à leurs emails et que les services n’aient pas été rétablis, nous avons également choisi de ne pas céder au chantage, et nous sommes surtout étonnés que être la cible des pirates.

Ceci est d’autant plus dommageable en cette période de pandémie que les services ne sont proposés qu’en ligne, notamment pour les personnes âgées. À l’heure actuelle, cette attaque n’a pas été revendiquée, mais le modus operandi semble être identique. D’ailleurs, le groupe Netwalker avait déjà frappé en France plus tôt, et cet été il était soupçonné d’être à l’origine de la cyberattaque contre les compagnies d’assurance MMA.

Netwalker avait déjà frappé en France plus tôt

Plusieurs grandes entreprises françaises avaient subi des attaques de la part de ce groupe russophone, et l’un des points d’entrée était un PC sous Windows 7, qui n’avait pas été mis à jour. Qu’il s’agisse de logiciels ou de matériel, les pirates sont plus que souvent heureux d’exploiter des vulnérabilités non corrigées. Autre passerelle: le courrier électronique via le phishing et la période des fêtes est la raison idéale pour envoyer de fausses cartes de vœux qui cachent des logiciels malveillants.