Les dessous du piratage par le groupe HIVE selon... Altice

La plainte contre Reflets contient de nouvelles informations sur le déroulé du hack

Le groupe de ransomware s'est emparé de près de 140 GB de données et a demandé plus de 5 millions d’euros de rançon. Visiblement, Altice a proposé moins…

L’assignation de Reflets en référé devant le Tribunal de commerce ce mardi comporte son lot de surprises. Altice et le Family office de la famille Drahi livrent à l’appui de leurs demandes une série de documents qui révèlent les dessous du piratage par le groupe de hackers. Altice joint ainsi un rapport de la société Code Blue sur l’attaque par ransomware dont elle a été victime. Selon les experts informatiques, l’attaque a eu lieu le 9 août 2022. Le groupe HIVE a mis la main sur 141 GB de données et menacé de les publier si une rançon n’était pas versée.  « les documents volés incluaient des informations sur les propriétaires d'Altice, la famille Drahi : Patrick, Lina, Nathan, David, Graziella et Angelina  », précise Code Blue. Il s’agit là sans doute des données de deux Family offices, Yafit et Valais Management services. Code Blue indique que le système informatique a pu être remis en fonction sans paiement de la rançon. Mais l'histoire ne s'arrête pas là...

L’attaque a visé des machines hébergées par Azure, le cloud de Microsoft. L’assaut, souligne Code Blue commence par du social engineering, un grand classique. Étonnamment, les mesures de protection de Microsoft ont failli. Si elles ont bien alerté d'une attaque en cours, elles ont été désactivées... par les pirates.

Dans son rapport, Code Blue liste toute une série de poncifs sur les groupes de ransomware, et sur Hive en particulier : leurs méthodes, qui ils sont, d'où ils opèrent... toutes sortes d'éléments que l’on pourrait trouver dans la presse spécialisée ou sur Wikipedia. Mais aussi des informations intéressantes sur les discussions qui sont intervenues entre Altice et les pirates.

Dans ces échanges (Code Blue n’intègre, prudemment, que les réponses des pirates, pas les messages venant dAltice), on apprend que les pirates étaient prêts à transiger sur une rançon de 5.550.000 de dollars. Les pirates de HIVE déroulent le discours habituel : « nous avons des experts financiers dans notre équipe qui peuvent lire des documents financiers. Ils ont étudié à nouveau votre cashflow, vos relevés bancaires, vos rapports annuels et vos budgets prévisionnels. Ces informations montrent clairement que vous avez la possibilité de payer une telle somme ». Bravo Sherlock. Dans l'ensemble, le rapport de Code Blue joint à la plainte contre Reflets est particulièrement léger sur le plan technique. Il existe probablement des détails plus fournis qui n'ont pas été joints. Du moins on l'espère...

Les échanges intégrés dans le rapport de Code Blue montrent également que les pirates étaient prêts à négocier : « nous sommes toujours ouverts à des négociations constructives. Proposez-nous un chiffre, s’il est acceptable, nous ferons affaire ». Las ! Le prix proposé par Altice était-il trop faible (il n’y a pas d’information sur ce point) ? Car les pirates répondent : « j’ai été appelé devant le Board.(sic!) Ils n’ont pas aimé les derniers développements. J’ai lu votre message avec attention, vous parlez de prix initial. Donnez-moi un prix raisonnable et je pourrai revenir vers ma direction ».

Selon la plainte d'Altice contre X déposée le 13 septembre devant le tribunal de Paris pour le piratage de ses serveurs, les machines touchées par l'attaque ont été indisponibles pendant trois semaines.

Altice a fait appel à la société Code Blue dès le lendemain de l’attaque, apprend-t-on encore dans ce document. Mais le délai entre l’attaque et la plainte semble particulièrement long. Surtout, celle-ci intervient bien après les premiers articles dans la presse annonçant le piratage, dès le mois d'Août, ou ceux de Reflets parus encore plus tard, le 5 septembre.

Ils devraient essayer la 5G ou le câble...