Le groupe Lockbit s’est attaqué à Thales en volant des milliers de fichiers confidentiels sur un serveur. Après avoir exigé une rançon, que la société française a refusée, la bande les a publiés. Cependant, il semble que les malfaiteurs ont accordé trop d’importance à des données à faible degré de sensibilité.
Le 3 janvier dernier, le groupe Thales avait été la cible d’une cyberattaque basée sur le ransomware Lockbit. Les malfaiteurs donnaient alors 10 jours à l’entreprise pour leur verser un montant conséquent de cryptomonnaies. En cas de non-paiement, il menaçait de rendre publiques des datas volées. L’été 2021, cette technique a déjà été utilisée contre le cabinet Accenture, qui emploie plusieurs consultant informatique.
Relativement à ce métier, ceux qui opèrent comme indépendant peuvent se rendre sur la plateforme Freelance-informatique pour trouver des missions. Regroupant plusieurs sociétés clientes positionnées dans des domaines variés, elle partage des offres destinées aux consultants en cybersécurité, numérique, etc.
Des datas à faible niveau de sensibilité
14 jours après l’attaque, Thales a toujours refusé de céder aux exigences des hackers. Ainsi, les maîtres chanteurs ont divulgué 1 320 fichiers Zip. Sur Twitter des spécialistes de la sécurité ont constaté ce passage à l’action. Sofiane Tahiri a alors commenté croire que les documents appartiennent réellement au groupe français. D’après lui, le gang derrière Lockbit :
[…] A probablement compromis quelques dépôts de manière aléatoires, mais pas le réseau interne.
Ces derniers portent sur des instruments internes, particulièrement du code, pour les programmeurs des systèmes Space Ops. Des solutions créées par la joint-venture consacrée à l’industrie spatiale Thales Alenia Space, gérée avec l’entreprise transalpine d’armement Leonardo.
Le 18 janvier 2022, il n’était plus possible de télécharger les documents. Le groupe Thales, questionné par le Parisien, a confirmé avoir été victime d’extorsion. Il a souligné qu’en majorité, les données dérobées paraissent avoir été copiées depuis un dépôt de code. Une structure extérieure aux principaux mécanismes de renseignements de l’entreprise et qui stocke des datas à faible degré de sensibilité.
Les malfaiteurs lancent de plus en plus d’attaques
Les pirates informatiques auraient donc surestimé leur prise. Auparavant, ils avaient déjà connu des dénouements similaires. Le directeur technique de la société de cybersécurité Deep Instinct, Guillaume Maguet, avance :
Ils sont considérés comme sérieux dans la technique mais peu crédibles dans leurs informations.
Les criminels s’en seraient donc pris à un serveur insuffisamment sécurisé. Par conséquent, Thales a annoncé qu’étant donné que la protection des informations de leurs clients constitue leur préoccupation première, ils contacteront :
[…] Les parties concernées pour discuter et informer chacune d’entre elles d’actions correctives potentielles.
Guillaume Maguet décrypte que depuis le commencement de l’année 2022, les attaques du groupe Lockbit se multiplient. Il ajoute que celles-ci sont menées avec une nouvelle version plus offensive de leur rançongiciel et :
[…] L’exploitation de pièces jointes d’e-mail avec des Macros vérolées.
Le spécialiste précise que les malfaiteurs ne proposent pas de décoder les datas. Leur programme informatique appartient à la catégorie des « wiper », qui effacent tout, appuie-t-il. Ensuite, le groupe mène une négociation par l’intermédiaire de leur plateforme sur le DarkNet avec leur cible. De cette manière, il évite la fuite des données sur le Web.