Journal d'investigation en ligne et d'information‑hacking
Dossier
par Antoine Champagne - kitetoa

Entre autres sociétés, des cabinets d'avocats français visés par des ransomwares

Les données clients fuitent et tout le monde a l'air de s'en désintéresser

Contactés, les avocats refusent de parler, la CNIL est comme toujours aux abonnés absents, l'ANSSI n'a pas répondu à notre demande d'interview... Dans la presse, on parle beaucoup de montants de rançons, moins des millions de données personnelles qui sont publiées.

La page d'accueil du site du groupe Conti

Les ransomwares, « rançongiciels » sont une sévère nuisance et les attaques se multiplient. À tel point que la presse généraliste en parle désormais, pas toujours très bien d'ailleurs. Derrière ces groupes qui chiffrent les données des entreprises et des services publics, il y a bien entendu l'appât du gain. Les rançons demandées pour déchiffrer les informations qui permettent à l'entreprise de fonctionner sont souvent conséquentes. Mais au regard du reste de la criminalité (trafic de drogue, traite humaine, racket, etc.), cela reste pour l'instant assez modeste, comme nous l'avions évoqué dans cet article. À ce jour, le site Ransomwhe.re estime à 97,41 millions de dollars le volume des rançons versées. Ce qui augmente terriblement, en revanche, et qui atteint un niveau très inquiétant, c'est le volume des données que les groupes de pirates publient sur Internet. Ces derniers temps, plusieurs cabinets d'avocats, mais aussi des sociétés comme Dassault Falcon Jet Corp, ont fait l'objet d'attaques par ransomwares et des données sensibles, dont énormément de données personnelles de salariés et de clients ont été dispersées sur le Net. Finalement, le problème n'est sans doute pas le montant des rançons, mais la diffusion des données personnelles piratées et le manque -habituel- d'intérêt des entreprises victimes en faveur de la protection de la vie privée de leurs clients.

Dans un processus désormais classique, les groupes de pirates réclament une rançon pour déchiffrer les données de l'entreprise qui ont été rendues inutilisables. Un délai est offert pour régler, généralement en Bitcoin. Passé ce compte à rebours, si l'argent n'arrive pas, les données sont rendues publiques ou mises aux enchères. Et pour que les entreprises ne pensent pas qu'il s'agit d'un bluff, les pirates publient dès l'annonce d'une nouvelle victime, quelques copies d'écran de données sensibles extraites lors du piratage.

Le nombre de groupes s'adonnant à la diffusion de ransomwares est désormais assez conséquent, une cinquantaine selon certains sites qui recensent les plus visibles. Et comme le nombre d'entreprises ne payant pas s'allonge en conséquence, le volume d'informations publiées se compte désormais en téraoctets. Il va bientôt y avoir, si ce n'est déjà le cas, plus de données confidentielles publiées par les groupes diffusant des ransomwares que sur WikiLeaks...

Une liste de sites de groupes diffusant des ransomwares
Une liste de sites de groupes diffusant des ransomwares

Elixir magique

De la même manière qu'un internaute lambda a du mal à cerner l'étendue de l'infrastructure de surveillance privée et publique qui s'est développée ces vingt dernières années, les utilisateurs les plus avertis ne parviennent même plus à discerner le volume de poudre de perlimpinpin déversée par « l'écosystème » du monde de la sécurité informatique. Les entreprises du secteur ont rapidement surfé sur l'aubaine… Vous avez la trouille de voir vos données être chiffrées, que votre business soit mis à l'arrêt ? Achetez notre fameux Elixir miracle du Docteur Doxey ! Tel le bonimenteur de l'Ouest américain, vendant sont élixir à base d'extrait de serpent à sonnette, les spécialistes de l'écosystème de la sécurité informatique vous proposent des « solutions 360 » qui permettent de se protéger contre les menaces passées, présentes et futures... Bon courage !

Seule consolation, si l'on peut dire, le mur de la réalité rattrape aussi les bonimenteurs : les « experts » se font avoir comme les autres.

Il est absolument fascinant d'observer lesdits experts se retrouver affichés sur les sites des groupes de pirates après avoir donner tant de conseils avisés sur la marche à suivre pour s'en protéger...

Par exemple, le cabinet Alcya Conseil se présente comme expert dans le domaine du droit du numérique. Et propose des formations sur le Règlement Général sur la Protection des Données, des cartographies des traitements des données personnelles et analyses des risques s’y rapportant (étude d’impact…), des accompagnements à une mise en conformité, des rédaction de politiques de protection des données, des audits et études d’impacts de traitement contenant des données personnelles, une assistance dans le cadre de mises en demeure ou contrôle de la CNIL... Alcya Conseil fait partie d'une série de cabinets d'avocats ayant succombé au ransomware de Everest, une équipe de pirates. Selon eux, quelque 3,5 Gigabits de données ont été extraits du cabinet et risquent de se retrouver dans la nature. Le cabinet a-t-il fait une déclaration à la CNIL, prévenu ses clients, mené une étude d'impact post événement ? Mystère, il n'a pas souhaité nous parler.

Par principe, les données piratées dans un cabinet d'avocats sont très personnelles : liste des clients, détails sur les contentieux, adresses, mails, documents d'identité...

Liste des cabinets touchés par un ransomware de l'équipe Everest
Liste des cabinets touchés par un ransomware de l'équipe Everest

Liste des savoir-faire de Alcya Conseil
Liste des savoir-faire de Alcya Conseil

Ce cabinet n'est pas le seul touché. Le Cabinet Remy Le Bonnois a particulièrement souffert. 820 Gigabits de données auraient été exfiltrés...

Le cabinet Remy Le Bonnois sur le site du groupe Everest
Le cabinet Remy Le Bonnois sur le site du groupe Everest

Dans la fuite de données, on trouve une archive mail Outlook et les documents des ordinateurs de trois collaboratrices. Outre les informations concernant les clients du cabinet spécialisé dans les accidents, toutes sortes de données personnelles des trois collaboratrices sont accessibles : leurs contrats, leurs frais, des avis d'imposition... Une constante : tout est rangé n'importe comment dans le disque dur...

Nous avons joint le Cabinet Le Bonnois, comme tous les autres cités sur le site du groupe Everest. Dans tous les cas, les secrétaires ont opéré un barrage infranchissable. Nous avons laissé nos coordonnées pour être rappelés par un avocat mais personne n'a jamais pris la peine de le faire. La secrétaire, du cabinet Le Bonnois s'interroge : « Comment vous savez, déjà, que nous avons été victimes d'un piratage informatique ? ». Parce que c'est public sur Internet ? Elle avoue alors ne pas être une geek. On s'en doutait un peu. Mais toujours pas d'accès à une personne pouvant discuter efficacement de tout cela avec un journaliste. Pas geek, mais curieuse : « Juste pour ma culture personnelle, ce genre d'informations, vous le voyez sur quel site ? ». Sur Tor... « Ah, ben pour moi ça c'est un truc de la télé, tellement je ne sais même pas ce que c'est... ».

En tout état de cause, le cabinet Le Bonnois sait que les données personnelles doivent le rester, comme en atteste une partie du contrat de l'une de ses collaboratrices. Las... Tout le dossier "Perso" de cette collaboratrice est présent dans le leak.

Tout est sous contrôle. C'est sans danger.
Tout est sous contrôle. C'est sans danger.

Un seul cabinet a fait preuve d'un peu de transparence en expliquant que l'ANSSI allait prendre l'affaire en main.

Évidemment, nous avons souhaité interroger la CNIL sur ce sujet. Elle est injoignable par téléphone. Le numéro de téléphone aboutit sur le répondeur... qui est plein, lorsque l'on demande le standard.

Quel que soit le service demandé, on aboutit sur un disque d'attente en boucle infinie... Notre mail du 8 juillet 2021 (il y a plus de deux mois...) est resté sans réponse. Après une ultime relance et un petit coup de pouce d'une personne en interne, le service de presse nous a répondu qu'il ne pouvait pas nous répondre. Nous avons reformulé notre question de manière très générale : « Les entreprises ont-elles une obligation de déclaration d'incident auprès de la CNIL en cas d'attaque par ransomware ? ». Le service de presse nous a simplement renvoyés vers la page de la CNIL dédiée aux ransomwares.

Combien d'entreprises victimes ont-elle procédé à une notification ? Secret-défense...
Combien d'entreprises victimes ont-elle procédé à une notification ? Secret-défense...

En tout état de cause, si la Cnil ne surveille pas les publications des groupes de diffuseurs de ransomware, il est fort probable qu'elle passe à côté de fuites massives de données, les entreprises ayant parfois un peu de mal à avouer ce genre de problème lorsqu'elles sont touchées.

L'ANSSI propose bien un numéro de téléphone pour la personne chargée des relations avec la presse, mais notre message laissé sur le répondeur a dû finir dans les oubliettes. De même que notre mail.

Les bons conseils des experts...

Dans le domaine des fournisseurs de bons conseils pris au piège, la France n'a pas le monopole, loin de là. Pannone Lopes Devereux & O'Gara LLC, cabinet américain avait ainsi publié un texte prémonitoire : « Vous avez été piraté : devez-vous (ou votre assureur) payer la rançon ? » (grosses tranches de #Lulz inside)

Un texte très pertinent...
Un texte très pertinent...

Une question intéressante pour un cabinet victime de LockBit :

PLDO sur le site de LockBit 2.0
PLDO sur le site de LockBit 2.0

Même si elles ne sont probablement pas la priorité des équipes de pirates, la liste des entreprises françaises qui sont victimes de ransomwares s'allonge. [InsermTransfer](www.inserm-transfert.fr/), Assu2000, Cerfrance, la ville de Villepinte, BVA Group, Solware, Groupe Profil France...

InsermTransfer sur le site du groupe Conti
InsermTransfer sur le site du groupe Conti

Le cas Groupe Profil France est particulièrement intéressant. Cette entreprise a notamment comme spécialité de fournir des informations personnelles sur des personnes. Par exemple lorsqu'un huissier recherche les coordonnées d'un débiteur pour l'un de ses clients. Le leak de données sur le site du groupe Ragnarok est particulièrement inquiétant en terme de données personnelles. On trouve des fiches concernant des personnes avec leur état civil détaillé et leur adresse "connue".

Dans le secteur de la sécurité informatique, on a toujours des bons conseils à donner et des solutions pertinentes. Axis Communications, une société du groupe Canon, spécialisée dans la sécurité, via notamment les caméras de surveillance, a beaucoup de choses à dire sur la cybersécurité. On peut même télécharger des livres blancs sur son site.

Les éléphants sont inquiets. La cybercriminalité est partout.
Les éléphants sont inquiets. La cybercriminalité est partout.

C'est là qu'Axis entre en jeu. Juste avant d'être victime d'un rançongiciel
C'est là qu'Axis entre en jeu. Juste avant d'être victime d'un rançongiciel

Les données de l'entreprises mises aux enchères
Les données de l'entreprises mises aux enchères

Une source travaillant dans le secteur de la sécurité informatique interrogée dans le cadre de cet article nous a fait remarquer qu'Axis a une conception particulière de la sécurité, ce qui est souvent le lot des acteurs de l'Internet of Things (rebaptisé Internet of Shit par les chercheurs en sécurité informatique). Pendant très longtemps, les caméras produites par Axis étaient configurées en usine avec un login "root" et un mot de passe "pass". Comme la plupart des utilisateurs ne changent pas ces informations, leurs caméras sont accessibles depuis n'importe que ordinateur dans le monde, ce qui donne des résultats cocasses.

L'ancienne configuration par défaut (documentation Axis)
L'ancienne configuration par défaut (documentation Axis)

La même source nous a transmis quelques images illustrant ce défaut.

Une caméra configurée en usine avec un login/pass Axis
Une caméra configurée en usine avec un login/pass Axis

Une autre...
Une autre...

Attention quand vous tapez votre numéro de CB...
Attention quand vous tapez votre numéro de CB...

Un peu de tourisme
Un peu de tourisme

Mais trêve de vidéos. Revenons à la sécurité informatique, aux fuites de données, à ceux qui les permettent par leur négligence, leur propension à débiter des discours marketing plus creux qu'une meule d'emmental... Ils se réunissent souvent et devisent sur la pertinence de leurs produits, sur leur capacité à sécuriser l'immense bordel que sont devenus les Internets Et chacun de se féliciter mutuellement...

Le FIC a abordé les ransomware. Une IA va protéger la cyber-planète...
Le FIC a abordé les ransomware. Une IA va protéger la cyber-planète...

Le FIC 2021 vient justement de fermer ses portes. Comme chaque année, l'écosystème de la sécurité informatique s'y est auto-congratulé. Comme chaque année, les vendeurs de snake oil et autres experts ont fait leur show.

Peut-être serait-il utile que le FIC s'interroge en 2022 sur l'impuissance du secteur face aux menaces, sur l'inanité des discours marketing, sur les vendeurs d'armes numériques qui se déguisent en vendeurs d'outils de sécurité et ont table ouverte dans tous les lieux de rencontre de l'écosystème (Hexatrust, "Major Partner" du FIC, on vous voit)... Les sujets ne manquent pas.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée