S'abonner Se connecter
Journal d'investigation en ligne et d'information‑hacking
À la Une
Technos
par Antoine Champagne - kitetoa

Le ministère de la Justice et d'autres entités publiques touchés par des ransomwares

Quels documents vont se retrouver sur Internet dans quelques jours ?

Le ministère verrouille sa com. La ville de Saint-Cloud a également été visée ainsi que le centre interdépartemental de gestion de la grande couronne de la région d'Ile-de-France. La semaine dernière, des documents de Thales s'étalaient sur la toile.

La semaine dernière, Thales Group découvrait une liste de documents mis en ligne par le groupe Lockbit. Étonnamment, avant la diffusion d'une flopée de code informatique concernant des projets internes du groupe, Thales minimisait :

La ligne d'activité Thales Digital Identity and Security (DIS) / Cloud Protection and Licensing (CPL) a pris connaissance de l'attaque par ransomware "Lockbit" visant des données appartenant au groupe Thales. Il n'y a actuellement aucune preuve matérielle d'un impact sur les offres de services ou l'infrastructure CPL, et nous sommes convaincus qu'il n'y a pas d'impact sur les données des clients dans les services CPL, ou les lignes de produits CPL associées. Bien qu'il n'y ait pas eu de notification directe de rançon, une équipe dédiée d'experts en sécurité examine actuellement la situation dans l'ensemble du groupe Thales. D'autres mises à jour de Thales seront fournies au fur et à mesure de l'avancement de l'enquête.

Réponse de Thales lorsque le groupe Lockbit a annoncé avoir piraté le groupe
Réponse de Thales lorsque le groupe Lockbit a annoncé avoir piraté le groupe

Sans surprise, Lockbit a mis en ligne des documents quelques jours après avoir annoncé le piratage du groupe :

Documents Thales mis en ligne par Lockbit
Documents Thales mis en ligne par Lockbit

En effet, comme le soulignait le communiqué de Thales, il n'y avait pas de données clients. Mais beaucoup de code informatique interne, probablement propriétaire.

Bout de code Thales
Bout de code Thales

La démarche consistant à minimiser systématiquement les fuites de données est vieille comme Internet. Elle est toujours aussi ridicule, et si le grand public passe complètement à côté de ces blagues, l'éco-système, lui, ne peut les ignorer. Les autres sociétés travaillant dans le domaine de la sécurité informatique, les donneurs d'ordre, les grandes SSII, tout le monde sait quelles sont les sociétés dont les systèmes d'information ont été dévastés par les pirates. Désormais, Thales fait partie de cette liste, comme bon nombre d'autres noms prestigieux. Thales n'est pas n'importe qui : cette société est au cœur de dizaines de projets ultra-sensibles. Et comme pour les autres avant elle, personne dans l'écosystème ne va s'interroger publiquement sur la faiblesse en termes de sécurité que représente cette attaque de Lockbit. On fera comme si rien ne s'était passé. Étonnant, non ?

Dans la même ligne que Thales, le ministère de la Justice a répondu aux journalistes qui l'interrogeaient sur l'annonce, par le même groupe (Lockbit), d'une révélation de données dans dix jours si le ministère ne payait pas de rançon :

Le ministère de la Justice a pris connaissance de l’alerte, et s’est immédiatement organisé pour procéder aux vérifications nécessaires, en lien avec les services compétents dans ce domaine.

Un générateur de caca de taureau spécial startup n'aurait pas fait mieux. Mais en réalité, il n'est pas totalement improbable que le ministère n'ait aucune idée de l'endroit où la brèche s'est produite, ni ce qui a été exfiltré. Comme pour le problème Thales, là aussi, un peu d'introspection et de discussion sur la pertinence des dispositifs de sécurisation des réseaux déployés (pour un coût non négligeable) serait les bienvenues. Tout le monde y gagnerait.

Les greffier et magistrats sur Twitter ont redoublé d'inventivité en matière de blagounettes, parce que, probablement, comme le dit le dicton, il vaut mieux en rire qu'en pleurer. Hilares, tous expliquent que, quand les pirates vont ouvrir les documents, ils vont avoir des surprises et ils ne pourront pas les lire, vu l'âge canonique des logiciels du ministère.

Compte twitter de Japlumes
Compte twitter de Japlumes

WordPerfect, une spécialité française
WordPerfect, une spécialité française

Un État impuissant ?

Les logiciels utilisés par les magistrats et les greffiers sont en effet particulièrement singuliers. Si Eric Dupond-Moretti dit avoir « réparé » la Justice, il n'a pas engagé de réforme en profondeur des outils. Au delà de cette incongruité spécificité qu'est WordPerfect, au delà de l'anecdote du piratage du ministère par Lockbit, il y a une question qui mériterait d'être posée. Pour un gouvernement et un président qui vantent les mérites de la "start-up nation" et des licornes à tout bout de champ, pourquoi ne pas s'interroger sur la mise en place d'un ministère des développements informatiques (ou quelque chose dans ce goût-là) ? Pourquoi les ministères régaliens sont-ils obligés de faire appel au privé (contrat « open bar » chez Microsoft, Atos pour le centre de Rennes, on en passe ? Allons un peu plus loin : pourquoi l'État est-il obligé de faire appel à des consultants pour l'expression des besoins et pour la gestion de projet, ce qui ne peut aboutir qu'à des aberrations ? L'État est-il incapable d'employer ou de former des fonctionnaires ayant les connaissances nécessaires ? Quand le ministère de la Défense est incapable de dire si ses serveurs Exchange ont été touchés par l'attaque via SolarWinds, quinze jours après les faits, il y a un vrai problème auquel un gouvernement responsable devrait répondre de toute urgence.

Deux autres entités publiques touchées

En plus du ministère de la Justice, Lockbit a annoncé la diffusion de données de la ville de Saint-Cloud. Existe-t-il un lien entre ces deux piratages ? Un sous-traitant commun ? Une faille commune ? Mystère.

De son côté, le groupe Midas a annoncé le piratage du centre interdépartemental de gestion de la grande couronne de la région d'Ile-de-France. Comme le dit la pub, "Midas, pour vous, on se dépasse".

Annonce sur le site du groupe Midas
Annonce sur le site du groupe Midas

Accessible le jour de l'annonce, le site n'était plus en ligne dès dimanche 30 janvier.

Le site du CIG
Le site du CIG

Les piratages de ce type ne sont pas une nouveauté. Il y a eu la période où ils existaient, mais personne n'en avait conscience, parce que rien ne filtrait, il y a eu la période du Lulz avec Lulzsec. Maintenant, nous vivons une période où les données sont publiées sans discernement par des pirates qui ne comprennent rien à certaines données qu'ils diffusent. L'exemple le plus frappant est celui du groupe Everest qui met en vente (très cher) le dossier d'instruction de l'attentat de Charlie et diffuse « gratuitement » celui de l'attentat contre Samuel Paty. Le premier concerne un procès qui a été jugé et (presque) toutes les rédactions de journaux français en ont une copie. Le second est un dossier qui n'a pas encore été jugé et contient de nombreuses informations confidentielles (et qui devraient le rester).

Il serait peut-être temps de se réunir autour d'une table et de discuter stratégie ? A moins qu'il faille appeler un cabinet de consultants à la rescousse ? Poser un constat de la situation et distribuer des flyers est peut-être un peu court désormais ?

Le leak du ministère de la Justice fait pshitt

Presque huit jours avant la date initialement annoncée, le groupe Lockbit a publié mercredi 2 février des documents supposés appartenir au ministère de la justice.

En fait, il s'agit de documents issus d'un cabinet d'avocats en province.

Leak Lockbit sur le ministère de la justice
Leak Lockbit sur le ministère de la justice

Les données de la ville de Saint-Cloud seront publiées dans quelques jours selon Lockbit. Le groupe Midas n'a pas dévoilé de document du CIG Versailles mais le site est toujours hors ligne.

2 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée