Quoi s’est-il passé lors de la panne télécom en Australie et pourquoi est-ce préoccupant?
Le gouvernement australien a lancé une enquête approfondie jeudi pour élucider une panne massive qui a paralysé les communications de 10 millions de clients. Pourquoi cette panne est-elle qualifiée de préoccupante?
Pourquoi le gouvernement a-t-il décidé d’enquêter sur cette panne?
La ministre des Télécommunications, Michelle Rowland, a souligné l’importance d’analyser les pannes à grande échelle pour renforcer la résilience des réseaux. Pourquoi est-il crucial pour l’industrie et les gouvernements de tirer des leçons de ces incidents?
Quels sont les détails entourant la gestion de la crise par Optus et la question de l’indemnisation?
Optus, le deuxième opérateur téléphonique, a présenté la panne comme une « panne technique du réseau » sans fournir de détails. Le gouvernement et Optus divergent sur l’indemnisation des entreprises touchées. Pourquoi Optus s’oppose-t-il à l’indemnisation, et pourquoi le gouvernement estime-t-il raisonnable de compenser les pertes subies?
Quelles conséquences ont été observées pendant la panne et qui a été affecté?
Des perturbations ont touché des services essentiels, notamment le ministère de l’Éducation, le Royal Melbourne Hospital, et la Commonwealth Bank. Les trains ont également été brièvement arrêtés. Comment ces interruptions ont-elles impacté la vie quotidienne des Australiens?
Existe-t-il des antécédents de problèmes similaires avec Optus?
Il y a un an, plus de neuf millions de clients Optus ont été victimes d’une cyberattaque. Le directeur général promet de renforcer la confiance des clients. Quels sont les enseignements tirés de cette expérience passée, et comment cela influe-t-il sur la réaction actuelle d’Optus et la confiance des clients?
L’ombre des rançongiciels plane à nouveau sur le cyberespace, avec l’émergence de groupes tels que Werewolves, LuckBit, Lambda, et LostTrust. Qui sont ces acteurs malveillants, et pourquoi leur influence inquiète-t-elle les entreprises à travers le monde?
Werewolves : Le loup-garou du cyberespace
Depuis juin 2023, Werewolves, un nouveau groupe d’extorsion, mène des attaques ciblées contre des entreprises russes. Quelles sont les méthodes employées par ces cybercriminels, et pourquoi les entreprises du secteur pétrolier, gazier, hôtels, et informatiques sont-elles leurs cibles de prédilection?
Chantage et risque imminent de divulgation
Werewolves pratique le double chantage habituel : exiger une rançon pour le déchiffrement des données volées et menacer de les rendre publiques. Les conséquences pour les entreprises victimes sont graves, mais pourquoi Werewolves est-il prêt à payer jusqu’à un million de dollars à des initiés pour compromettre ces entreprises?
Liste des victimes : Une variété d’entreprises à travers le monde
Depuis mai 2023, la liste des victimes de Werewolves compte 21 entreprises, dont 15 russes, ainsi que quelques italiennes et néerlandaises. Pourquoi les secteurs du pétrole, du gaz, de l’hôtellerie, et de l’informatique sont-ils particulièrement visés?
Fusion et émergence de nouveaux acteurs
Outre Werewolves, d’autres groupes de rançongiciels font leur entrée sur la scène cybernétique. LuckBit, Lambda, Hunters IR, et LostTrust se joignent à la menace. Quelles sont leurs origines, et pourquoi leur présence représente-t-elle une menace grandissante dans le domaine de l’extorsion numérique?
Hunters IR : Du ransomware au vol de données
Hunters IR, parmi les nouveaux venus, se distingue en affirmant ne pas se spécialiser dans le ransomware, mais préférer le vol de données comme méthode de pression. Quels sont les détails derrière cette transition, et pourquoi le code source de Hive, vendu à Hunters International, est-il crucial dans cette évolution?
Conclusion : Une menace persistante
La menace des rançongiciels persiste, avec des acteurs tels que Werewolves, LuckBit, Lambda, Hunters IR, et LostTrust. Les entreprises du monde entier doivent rester vigilantes face à cette menace croissante d’extorsion numérique.
Qu’est-ce qui s’est passé lors de l’attaque de Corsica Ferries et quels en sont les détails cruciaux ?
Corsica Ferries a été victime d’une cyberattaque percutante à la fin d’octobre 2023. Des pirates, identifiés comme ALPHV / BlackCat, ont pris en otage des données sensibles, y compris des informations bancaires, des factures, des données personnelles, des documents administratifs internes et même des plans de bateaux.
Qui est derrière cette attaque et quelles sont leurs motivations ?
Les malfaiteurs, ALPHV / BlackCat, ont opté pour une approche terre-à-terre en tentant de monnayer leur silence après avoir pris en otage des fichiers. Corsica Ferries a refusé de coopérer, révélant un acte de chantage informatique.
Où ont été stockées ces données dérobées et comment les pirates ont-ils procédé ?
Les fichiers volés étaient curieusement entreposés chez OSHI, un fournisseur nuagique accessible sur le web et le darkweb. Cette entreprise, qui promet le stockage « anonyme », semble avoir joué un rôle crucial dans cette cyberintrusion.
Quand la fuite de données a-t-elle été révélée et comment Corsica Ferries a-t-elle réagi ?
Les documents ont été mis à disposition dès le 1er novembre, avec Corsica Ferries réagissant rapidement à la menace. Une mise à jour du 8 novembre rapporte que la compagnie a pris des mesures légales, déposant une plainte et notifiant les autorités compétentes.
Pourquoi Corsica Ferries a-t-elle refusé de payer la rançon exigée par les pirates ?
Conformément aux recommandations des autorités, Corsica Ferries a résolument refusé de céder au chantage des cybercriminels. La compagnie a entamé des investigations pour évaluer l’étendue des données volées, visant à informer individuellement les personnes concernées.
Comment Corsica Ferries a-t-elle renforcé sa sécurité après l’attaque ?
Dès la détection de l’incident, Corsica Ferries a pris des mesures rapides, collaborant avec Orange CyberDéfense et l’ANSSI. Une cellule de crise a été mise en place, les serveurs potentiellement touchés ont été isolés, et des démarches ont été entreprises pour améliorer la sécurité globale.
En conclusion, Corsica Ferries reste vigilante, assurant que les données bancaires de ses clients ne sont pas compromises, et promet une communication transparente avec toutes les parties affectées.
Le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) en collaboration avec OverSOC, annonce la publication du premier Livre Blanc consacré à l’évaluation de la maturité des organisations françaises dans la gestion de leur surface d’attaque cyber. Cette initiative vise à fournir des recommandations opérationnelles cruciales dans ce domaine stratégique.
Quelle est la démarche derrière ce Livre Blanc ?
L’étude à l’origine de ce Livre Blanc a été réalisée auprès de 79 répondants, principalement des RSSI (Responsables de la Sécurité des Systèmes d’Information) et des DSI (Directeurs des Systèmes d’Information) français. Menée en collaboration avec le Pôle d’Excellence Cyber (PEC) et Systematic Paris-Région, elle se penche sur la manière dont les organisations françaises gèrent leur surface d’attaque cyber.
Pourquoi cette étude est-elle cruciale ?
Face à l’évolution constante des menaces cyber, les entreprises et les administrations doivent adopter une approche proactive pour renforcer leur défense. La maîtrise de la surface d’attaque, définie par le Gartner comme le « Cyber Asset Attack Surface Management » (CAASM), devient une préoccupation centrale. Les outils CAASM permettent de centraliser les informations IT issues des outils déployés sur le parc informatique, offrant ainsi une visibilité essentielle.
Quelles sont les conclusions clés de cette étude ?
Le Livre Blanc souligne plusieurs défis majeurs auxquels sont confrontées les organisations françaises en matière de cybersécurité, parmi lesquels :
La complexité croissante des systèmes d’information.
La difficulté à appréhender et à connaître les surfaces d’attaques.
Les contraintes budgétaires.
Le besoin d’automatisation pour gérer la masse de données.
La méconnaissance des actifs et du périmètre informatique.
Quels sont les enseignements à tirer de cette étude ?
L’étude encourage les organisations à adopter une approche automatisée de la cybersécurité pour optimiser leur visibilité, leur réactivité, et leur efficacité en matière de sécurité. Le CAASM se positionne comme un outil essentiel pour cartographier de manière exhaustive les actifs sensibles, améliorant ainsi la capacité à réagir face aux menaces.
Quelle est la perspective pour l’écosystème cyber français ?
Ce Livre Blanc appelle à renforcer les relations entre les associations de professionnels de la cybersécurité et les startups technologiques en croissance. Il constitue une première étape dans la promotion du CAASM comme outil clé pour gérer la surface d’attaque, tirer parti des données du système d’information et renforcer la posture de sécurité.
Le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) est une association qui vise à promouvoir la cybersécurité en France en favorisant l’échange de connaissances et d’expériences entre experts. Il compte plus de 900 membres issus de divers secteurs d’activité, des industries aux ministères en passant par les entreprises du CAC40 et du SBF120.
À propos de OverSOC
OverSOC, créée en 2020, propose une solution de gestion de la surface d’attaque des cyber-actifs en cartographiant de manière 3D le système d’information. Cette solution permet une visualisation intuitive des vulnérabilités et de la conformité technique des éléments du SI pour optimiser la prise de décision et les actions de protection des systèmes d’information.
À propos de Systematic Paris-Region
Systematic Paris-Region est un pôle de compétitivité qui vise à renforcer l’innovation dans les technologies de l’information et de la communication en région parisienne.
À propos du Pôle d’Excellence Cyber
Le Pôle d’excellence cyber, fondé en 2014, soutient le développement de la filière cyber française en rassemblant des acteurs de la recherche, de la formation et de l’industrie à l’échelle nationale.
Alors que l’année 2023 progresse, une tendance indéniable émerge dans le monde de la cybersécurité : le démantèlement de réseaux criminels mondiaux. Après une série d’opérations réussies contre Breached Forums, Genesis Market, et de nombreux sites DDoS, ainsi que l’infiltration du ransomware Hive en janvier dernier, le FBI ajoute un autre succès impressionnant à sa liste en mettant hors d’état de nuire un botnet de longue date : QBot.
QBot : Une Menace de Longue Date Éradiquée: Depuis son apparition initiale sous le nom de Qakbot en 2007, ce botnet a fait preuve d’une résilience impressionnante. Connus sous diverses appellations telles que QBot, QuakBot, Pinkslipbo, et TA570, ses créateurs semblaient jouer au jeu du chat et de la souris avec les chercheurs en sécurité. Évoluant continuellement, le botnet ajoutait constamment de nouvelles fonctionnalités et développait des stratégies pour échapper à la détection. Cela a créé une traque perpétuelle.
Finalement, la persévérance a porté ses fruits, et grâce à la coopération acharnée entre le FBI et ses partenaires, dont la Police Française, le botnet a été mis hors d’état de nuire. C’est une victoire bienvenue, témoignant des efforts soutenus pour protéger l’écosystème en ligne contre les menaces persistantes.
Des Millions de Dollars Sauvés grâce à l’Opération Conjuguée: La Cybersecurity and Infrastructure Security Agency (CISA) et le Federal Bureau of Investigation (FBI) ont publié un avis conjoint de cybersécurité (CSA), « Identification and Disruption of QakBot Infrastructure, » pour aider les organisations à détecter et à se protéger contre les activités et les logiciels malveillants liés à QakBot.
Plusieurs nations occidentales, comprenant les États-Unis et la France, ont collaboré pour démanteler la plateforme Qakbot, une action annoncée conjointement par les autorités américaines et françaises le mardi 29 août. Selon le département de la Justice américain, « Le logiciel malveillant Qakbot a infecté plus de 700 000 ordinateurs, facilité le déploiement de rançongiciels et infligé des centaines de millions de dollars de préjudices à des entreprises, des prestataires de soins et des administrations publiques à travers le monde. »
Dans le cadre de cette coopération internationale, la procureure de la République de Paris a révélé que parmi les quelque 700 000 ordinateurs identifiés comme étant infectés, 26 000 se trouvaient en France. Laure Beccuau a ajouté que six serveurs, parmi les 170 à l’origine du logiciel malveillant, étaient situés sur le territoire français.
L’opération, menée le samedi précédent, a impliqué les autorités policières et judiciaires des États-Unis, de la France, de l’Allemagne, et des Pays-Bas. Cette collaboration a abouti à la saisie de 8,6 millions de dollars en cryptomonnaies, a indiqué la procureure de Paris.
Un Botnet Inopérant : Les Détails de l’Opération: Laure Beccuau a précisé : Dans la nuit du 26 août 2023, le FBI a procédé à la redirection du trafic vers des serveurs sous son contrôle, libérant ainsi toutes les machines du botnet et rendant celui-ci complètement inopérant. L’opération a également entraîné la désactivation d’environ cinquante serveurs répartis entre les quatre pays partenaires, suivi de la mise hors service du reste de l’infrastructure.
Conclusion: Le démantèlement du botnet QBot représente un pas de géant dans la lutte contre les menaces cybernétiques. Cette opération conjointe entre les États-Unis, la France, l’Allemagne, et les Pays-Bas a non seulement sauvé des millions de dollars en préjudices, mais elle a également renforcé la coopération internationale dans la lutte contre la cybercriminalité. C’est un rappel puissant que la persévérance et la collaboration sont des atouts essentiels dans la défense de notre écosystème en ligne.
L’univers virtuel, riche de possibilités, peut également être le terrain de jeu de nombreux escrocs, cherchant à exploiter la crédulité des utilisateurs. Récemment, une nouvelle méthode d’arnaque a fait son apparition, prenant la forme d’un courriel supposé provenir d’Interpol, l’Organisation internationale de police criminelle. Derrière cette façade officielle se cache une tentative sournoise de tromper les utilisateurs.
Qui est derrière cette arnaque ?
Plusieurs lecteurs de ZATAZ ont signalé avoir reçu un courriel suspect au cours de l’été. Le message prétendait être envoyé par Interpol, évoquant la création d’un « service d’enquête externe et interne » dédié à la lutte contre les fraudes en ligne. L’intention semblait louable : aider les victimes à obtenir justice. En réalité, il s’agissait d’une ruse élaborée.
Le courrier électronique mentionnait que cette initiative était menée en collaboration avec la Commission Nationale de l’Informatique et des Libertés, à la demande de l’Association des Victimes d’Escroquerie et d’Usurpation du Net. L’objectif était de mettre en place un système automatisé de collecte de données personnelles pour identifier les auteurs d’infractions sur Internet. Cependant, derrière ces mots pompeux se cachait un piège sournois.
La double peine pour les victimes
Le contenu du courriel annonçait : « Nous lançons des appels aux victimes d’escroquerie, afin d’émettre des poursuites judiciaires contre ces différents coupables peu après une saisie informatique de la Cyber-infiltration relevant les chefs d’accusation suivants ». Cette déclaration grandiloquente visait à créer une apparence de légitimité. Cependant, le véritable dessein de l’escroc derrière ce message était bien différent.
Une fois qu’une victime potentiellement intéressée se manifeste, l’escroc, se faisant passer pour un policier, contacte la victime en lui annonçant que l’auteur de l’escroquerie a été appréhendé. Cependant, pour récupérer les fonds perdus lors de l’escroquerie initiale, la victime est informée qu’elle devra payer des frais. Cette tactique sournoise vise à piéger la victime une seconde fois, la dépouillant ainsi de nouvelles sommes d’argent.
Comment se protéger
Pour se prémunir contre ce genre d’arnaque, il est crucial d’adopter une approche vigilante. Si vous recevez un courriel similaire prétendument envoyé par une organisation officielle, prenez le temps de vérifier l’authenticité de la communication. Ne partagez jamais d’informations personnelles ou financières sans avoir confirmé l’identité de l’expéditeur. Il est recommandé de contacter directement l’organisation en question à partir des coordonnées officielles disponibles sur leur site web, plutôt que de cliquer sur des liens ou de répondre au courriel suspect.
Conclusion
En conclusion, restez prudent et informé face aux tentatives d’escroquerie en ligne de plus en plus sophistiquées. La vigilance est le meilleur rempart contre les intentions malveillantes qui cherchent à profiter de la crédulité des utilisateurs. Ne devenez pas la victime d’une arnaque deux fois de suite : faites preuve de discernement et protégez vos informations personnelles à tout moment.
Selon Presse83.fr: Le géant des services informatiques, Capgemini, a récemment annoncé un plan ambitieux visant à investir massivement dans l’intelligence artificielle générative. Cette décision stratégique prévoit un investissement colossal de 2 milliards d’euros dans cette technologie au cours des trois prochaines années, selon l’annonce faite par le groupe en fin juillet. Cette nouvelle orientation intervient alors que Capgemini présente des résultats en demi-teinte pour le deuxième trimestre, une situation qui a eu pour conséquence une chute de ses actions en bourse.
Mais pourquoi Capgemini a-t-il choisi de consacrer une somme aussi importante à l’IA générative ? Cette décision s’explique en partie par la nécessité de former ses employés dans ce domaine d’avenir, mais également par la quête de talents dans un secteur de l’IA de plus en plus compétitif, notamment depuis l’émergence de phénomènes tels que ChatGPT.
L’impact sur les équipes de Capgemini est considérable, avec une prévision de doublement des effectifs des équipes Data et IA. D’ici 2025-2026, l’entreprise vise à atteindre un impressionnant total de 60 000 professionnels dédiés à ces domaines à travers le monde.
Cette initiative ambitieuse soulève des questions sur la manière dont Capgemini prévoit de mettre en œuvre cet investissement massif et sur les conséquences que cela aura sur son positionnement sur le marché. L’entreprise se positionne ainsi en tant que protagoniste majeur dans le domaine de l’IA générative, avec des perspectives de croissance significatives à l’horizon.
Dans un contexte où l’intelligence artificielle joue un rôle de plus en plus crucial dans le paysage technologique mondial, l’investissement de Capgemini témoigne de sa volonté de rester à la pointe de l’innovation et de continuer à offrir des solutions de haute qualité à ses clients.
Le paysage des logiciels malveillants ne cesse d’évoluer. De nouvelles familles apparaissent tandis que d’autres disparaissent. Certaines familles ont une durée de vie courte, tandis que d’autres restent actives pendant longtemps. Pour suivre cette évolution, nous nous appuyons à la fois sur les échantillons que nous détectons et sur nos efforts de surveillance, qui couvrent les botnets et les forums clandestins.
Découvert récemment ?
Au cours de nos recherches, nous avons découvert de nouveaux échantillons d’Emotet, un nouveau chargeur baptisé « DarkGate » et une nouvelle campagne d’infostealer LokiBot. Nous avons décrit ces trois éléments dans des rapports privés, dont cet article contient un extrait.
Si vous souhaitez en savoir plus sur notre service de signalement de logiciels malveillants, veuillez nous contacter à l’adresse crimewareintel@kaspersky.com.
DarkGate : Un Nouveau Venu dans le Monde Malveillant
En juin 2023, un développeur de logiciels malveillants bien connu a publié une annonce sur un forum populaire du dark web, se vantant d’avoir développé un chargeur sur lequel il travaillait depuis plus de 20 000 heures depuis 2017. Certaines des principales fonctionnalités, qui dépassaient la simple fonction de téléchargement, comprenaient notamment les suivantes :
La liste complète des capacités annoncées est disponible dans notre rapport privé.
L’échantillon que nous avons obtenu ne dispose pas de toutes ces fonctionnalités, mais cela ne signifie pas grand-chose, car elles peuvent être activées ou désactivées dans le programme de construction. Cependant, nous avons pu reconstituer la chaîne d’infection, qui comporte quatre étapes, jusqu’au chargement de la charge finale : DarkGate lui-même.
LokiBot : L’Infostealer Persévérant
LokiBot est un infostealer apparu pour la première fois en 2016 et toujours actif aujourd’hui. Il est conçu pour voler des identifiants de diverses applications, telles que les navigateurs, les clients FTP, et autres. Récemment, nous avons détecté une campagne de phishing ciblant les entreprises de transport maritime et distribuant LokiBot.
Dans les cas que nous avons étudiés, les victimes ont reçu un e-mail semblant provenir d’un contact professionnel et indiquant des frais portuaires à payer. Un document Excel était joint à l’e-mail. Comme prévu, à l’ouverture du document, l’utilisateur était invité à activer les macros. Cependant, il s’agissait d’un avertissement frauduleux, car le document ne contenait aucune macro et tentait d’exploiter la CVE-2017-0199.
Cette vulnérabilité permet d’ouvrir un document distant en fournissant un lien. Cela entraîne le téléchargement d’un document RTF, qui exploite à son tour une autre vulnérabilité, à savoir la CVE-2017-11882. En exploitant cette autre vulnérabilité, LokiBot est téléchargé et exécuté.
Une fois exécuté, LokiBot collecte les identifiants de diverses sources et les enregistre dans une mémoire tampon à l’intérieur du logiciel malveillant, avant de les envoyer au C2. Les données sont envoyées via des requêtes POST compressées avec APLib. Après avoir envoyé des informations système, le logiciel malveillant reste à l’écoute de commandes C2 supplémentaires. Ces commandes peuvent être utilisées pour télécharger d’autres logiciels malveillants, exécuter un enregistreur de frappe, etc.
La Cybersecurity and Infrastructure Security Agency (CISA), équivalent américain de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), a lancé son Ransomware Vulnerability Warning Pilot (RVWP), une initiative visant à prévenir les vulnérabilités des systèmes d’information (SI) d’organisations critiques aux États-Unis. Cette démarche proactive vise à identifier et à avertir les opérateurs d’infrastructures critiques des failles potentielles avant qu’elles ne soient exploitées.
Qui est à l’origine du RVWP et quel est son objectif ?
La Cybersecurity and Infrastructure Security Agency (CISA) est à l’origine du Ransomware Vulnerability Warning Pilot (RVWP), un programme destiné à repérer les ransomwares et les SI vulnérables des opérateurs d’infrastructures critiques. Cette initiative repose sur l’utilisation d’outils open source, d’outils internes et de solutions commerciales, ainsi que sur des informations provenant du gouvernement et de partenaires industriels.
Comment fonctionne le RVWP ?
Le RVWP se compose de deux volets. Le premier consiste à identifier les vulnérabilités, tandis que le deuxième vise à informer les propriétaires des SI affectés pour qu’ils puissent corriger ou atténuer ces failles avant qu’elles ne soient exploitées. Les notifications envoyées par la CISA contiennent des informations essentielles telles que le fabricant et le modèle de l’appareil, l’adresse IP utilisée, la manière dont la vulnérabilité a été détectée, ainsi que des conseils sur la manière de l’atténuer.
Quelle vulnérabilité a été ciblée récemment par la CISA ?
Répondant au nom de « ProxyNotShell, » cette vulnérabilité a été exploitée de manière significative par les acteurs de ransomware. La CISA a rapidement notifié 93 organisations utilisant des instances de Microsoft Exchange Service vulnérables à ProxyNotShell.
Quel est l’appel à l’action de la CISA ?
Eric Goldstein, directeur adjoint exécutif de l’agence, encourage toutes les organisations à réagir rapidement aux vulnérabilités identifiées par le RVWP et à mettre en place des mesures de sécurité conformes aux directives du gouvernement américain. Cette action vise à réduire directement l’impact des rançongiciels sur les organisations américaines.
Quelle est la portée des notifications de la CISA ?
Il est important de noter que recevoir une notification de la CISA ne signifie pas qu’une organisation a été compromise, mais plutôt qu’elle présente un risque potentiel d’attaque. Les notifications de la CISA ne sont pas contraignantes et ne obligent pas les destinataires à suivre les recommandations de l’agence. Cependant, elles constitue
Le Conseil Fédéral autorise une enquête administrative en réponse à la cyberattaque visant Xplain, un prestataire de services informatiques de la Confédération.
Qu’est-ce qui s’est passé ? Suite à la cyberattaque par ransomware qui a ciblé Xplain, l’un des fournisseurs de services informatiques du gouvernement, le Conseil Fédéral a pris des mesures pour enquêter sur les événements. Dans le but de comprendre les circonstances entourant l’attaque et d’identifier les lacunes potentielles, le gouvernement a donné son feu vert pour une enquête administrative.
Qui mènera l’enquête ? L’enquête sera menée par le cabinet d’avocats genevois Oberson Abels, qui a été chargé de faire la lumière sur les éventuelles défaillances administratives et de sécurité. Le Département Fédéral des Finances (DFF) jouera un rôle de soutien en coordonnant les efforts du mandataire.
Quels sont les objectifs de l’enquête ? L’objectif principal de l’enquête est de déterminer si l’administration fédérale a rempli ses obligations de manière adéquate tout au long du processus de sélection, d’instruction et de surveillance de Xplain AG. La collaboration entre le gouvernement et l’entreprise sera également examinée dans le cadre de l’enquête. Les autorités visent également à identifier les mesures nécessaires pour éviter de futurs incidents similaires.
Quelle est la portée de l’enquête ? L’enquête ne se limitera pas à un seul département ou à la Chancellerie Fédérale. Au contraire, elle s’étendra à tous les départements concernés par la relation avec Xplain, afin de garantir une évaluation complète et détaillée de la situation.
Quand l’enquête sera-t-elle achevée ? L’enquête devrait être conclue d’ici la fin du mois de mars 2024, ce qui signifie qu’une évaluation complète et minutieuse sera entreprise pour découvrir les tenants et aboutissants de l’attaque et pour formuler des recommandations appropriées.
Contexte de l’attaque Pour rappel, l’attaque par ransomware contre Xplain, qui a été révélée au grand public début juin 2023, a eu des conséquences profondes. Les pirates informatiques, également connus sous le nom de gang Play, ont exposé des données sensibles issues de plusieurs polices cantonales ainsi que de divers organismes gouvernementaux, dont Fedpol, l’armée, l’OFDF, les CFF, Ruag, le SECO et le canton d’Argovie.
Enquête Parallèle en Cours En parallèle, le Préposé Fédéral à la Protection des Données et à la Transparence (PFPDT) mène ses propres investigations concernant les offices fédéraux touchés par l’attaque ainsi que le prestataire Xplain.
