Altice : le plombier, le canapé et les risques informationnels

Incidents de sécurité bidons mais gros problèmes pour Altice

Tandis que les personnes qui veillent sur la famille Drahi enquêtaient sur un incident de sécurité (une tache sur un canapé), le groupe Hive piratait le groupe Altice. Les risques aujourd’hui pour l’entreprise sont massifs et bien plus réels que les problèmes de canapés.

C’est un document « confidentiel » publié par le groupe de rançongiciels Hive et qui vaut son pesant de cacahouètes qui nous l’apprend : un événement terrible s’est produit dans l’une des demeures de Patrick Drahi.

Peter* a 25 ans. Il a servi dans une unité de combat de l’armée israélienne. À l’époque des faits, il travaille depuis 6 mois dans l’entreprise de sécurité en charge de la propriété de Patrick Drahi. Sa spécialité : la protection des VIP. Le 5 septembre 2021, il constate l’impensable : dans une des résidences de la famille Drahi, une « tache sur un canapé » est repérée. Les enregistrements des caméras de surveillance permettent à Peter d’avancer rapidement dans son enquête : le 2 septembre à 10 heures, une minute et 46 secondes Robert* le plombier s’est assis sur le canapé et a placé son coude sur l’accoudoir. Il s’est relevé à 10 heures deux minutes et 19 secondes. Conscient, sans doute d'avoir fait une grosse bêtise, Robert a fait une photo du canapé à 10 heures deux minutes et vingt-quatre secondes.

L' affaire est sérieuse, l’agent rédige un rapport d’incident de sécurité. Du bon boulot. Merci à toi, Peter.

Aspirateur coincé dans la piscine, fissure sur le carrelage, fuite d'eau… le moindre incident de ce type fait l’objet d’un rapport écrit. Quelques événements, bien sûr, ont un rapport direct avec la sécurité.

Viens, on va se baigner dans la piscine de Patrick...

Ainsi, en octobre 2021, un groupe de 4 personnes s’approche de l’une des nombreuses propriétés. Ils ont autour de 25 ans. La demeure les intrigue et ils sont joueurs. Sur le visiophone, l’un deux se met à tapoter. Un gardien les repère et tente de les dissuader via le haut-parleur. En vain : le son ne fonctionne pas. En quelques essais, le jeune homme parvient à deviner le code et un couple pénètre dans la cour.

Aparté technique : les digicodes/interphones/visiophones disposant d’un clavier souffrent d’une vulnérabilité récurrente et bien connue : si le code n’est pas changé très régulièrement, l’usure des touches permet souvent de le deviner après quelques essais. Il est probable que les intrus ont procédé de cette façon.

Un gardien se précipite et éconduit les jeunes. Un rapport d’incident est rédigé.

Au delà de l’anecdote, un problème se pose : le code à 4 chiffres du portail est précisé dans le rapport d’incident… que l’on retrouve dans les données publiées par Hive (l’agent indique, bien heureusement, que le code doit être changé). Et c’est un des gros problèmes de ce leak : des dizaines d’adresses de sites, d’identifiants et de mots de passe apparaissent disséminés dans les documents.

Codes des coffres-forts présents dans chacune des maisons, codes d’alarmes, identifiants et mots de passe permettant de commander des produits et prestations divers, tout est précisé dans des fichiers dont les nombreux employés ont besoin pour entretenir les lieux et prendre soin du milliardaire.

Si l’on voulait écrire le prochain scénario de Mission impossible ou de la Casa de papel, tous les ingrédients y sont prémâchés. On trouve par exemple les plans détaillés de telle résidence de la famille, avec la liste des toiles de maîtres qui y sont accrochées. Au détail près de la pièce dans laquelle chaque toile se trouve. La liste des mesures de sécurité (alarmes) est précisée.

Les hackers connaissent bien ce terme : le social engineering, une pratique qui consiste notamment à usurper une identité pour obtenir des informations nécessaires au piratage. Dans le cas qui nous occupe, le nombre d’informations sur toutes les personnes qui interviennent dans les résidences gérées par le Family Office est tel, que le succès est garanti pour une équipe motivée.

Pluie de mots de passe

Quand on sort des dossiers du Family Office, la situation empire : les e-mails et fichiers contiennent les informations permettant de déclarer les impôts, de gérer les comptes en banque ou de valider son identité auprès de différents organismes. Plusieurs fichiers contiennent des identifiants et des mots de passe, y compris pour des comptes mails. Il y a dans cette publication de documents par Hive de quoi faciliter le travail de potentiels pirates informatiques ou voleurs de grands chemins.

Il n’est pas rare que les pirates informatiques travaillent "en escalier". En se basant sur une première collecte d’information, ils avancent dans le réseau et ainsi de suite. Le volume de logins et passwords est suffisant pour permettre à des délinquants déterminés de passer au niveau supérieur. Altice a-t-elle fait le nécessaire dès le 25 août, date de la publication des données par Hive ? Rien n’est moins sûr, vu l’empressement dont elle fait preuve pour expliquer qu’il ne s’est rien passé de grave.

Dans un cas comme celui-ci, l’entreprise devrait être en alerte générale avec toutes les équipes IT qui travaillent vingt-quatre heures sur vingt-quatre pour changer tous les accès de tous les utilisateurs, quelle que soit la filiale ou le lieu, contrôlés de près ou de loin par Altice et le Family Office. Par exemple, il est possible pour un pirate de se connecter sur le Wifi d’une résidence de la famille et donc, d’accéder à de nouvelles informations très confidentielles. A ce jour, les employés de filiales du groupe que nous avons contactés n'ont pas signalé de changements de mots de passe ou de branle-bas de combat en termes de sécurité informatique.

Il n’est pas complètement improbable qu’Altice ait fait appel à des sociétés de sécurité informatique pour faire face aux problèmes potentiels soulevés par ce leak dont elle continue à minimiser les conséquences. Espérons que les services rendus seront moins grandiloquents et plus effectifs que ceux annoncés par la filiale SFR pendant le dernier FIC. Il n’y a rien de certain, tant les vendeurs de « snake oil » pullulent dans ce secteur.

Altice joue sur les mots dans ses rares déclarations à la presse : « Altice confirme qu’au début du mois d’août elle a été victime d’une cyberattaque criminelle de type rançongiciel visant un système interne au niveau de la holding financière de l’entreprise. » [...] « le périmètre Altice France - SFR [n’est] pas impacté par ce rançongiciel. cette situation a été gérée en conséquence, les impacts ont été contrôlés et tous les services ont été rétablis. Ainsi, la holding financière est pleinement opérationnelle. Nous devons souligner qu’aucune donnée sensible n’a été compromise, en particulier les données des clients, les données des partenaires commerciaux ou les données relatives à nos partenaires financiers. »

En effet, Altice France n’est pas touchée dans les documents publiés à ce stade par Hive. Existe-t-il d’autres documents ? Hive annonce avoir publié 25 % de ce dont il dispose… En outre, si aucune donnée concernant les clients (SFR) n’a été diffusée, de nombreuses informations sur les fournisseurs du groupe sont publiées. Dans ce lot d’informations, toutes les données nécessaires pour des personnes disposant d’un scénario d’attaque crédible sont à portée de clic et permettent d’obtenir des informations toujours plus importantes. A titre d’exemple, avec ce qui est publié, il est aisé pour des spécialistes de se faire passer pour des proches de Patrick Drahi comme Jean-Luc Berrebi, ancien patron du Family Office Yafit et désormais directeur financer de Sotherby’s. Ou encore, pour Armelle Koelf, que l’on retrouve dans un nombre important d’entreprises gérées par Yafit dont elle est la directrice financière. De même, une équipe déterminée pourrait se faire passer pour Malo Corbin, directeur financier d’Altice Group ou pour Emilie Schmitz Viens, directeur chez Altice et dont la signature est sur des milliers de documents importants.

Sans une réaction très importante du groupe, et dans le cas où des entités adverses décideraient de s’en prendre à Altice, l'avenir pourrait receler de très mauvaises surprises.