Trois comptes utilisateurs mis en vente sur un marché noir, des données mixées avec un vol plus ancien et des revendications qui se sont synchronisées sur le calendrier des jours fériés français… on en sait désormais un peu plus sur les coulisses de l’attaque de l’industriel d’électronique et de défense Thales par les pirates de LockBit.
Cette crise avait débuté le 31 octobre 2022 et s’était soldée le 10 novembre par la divulgation de 9,5 Go de données volées, plusieurs longs jours après l’expiration du chantage du gang russophone. Mais après des investigations internes, le géant français de la défense, qui avait réalisé un chiffre d’affaires de 16 milliards d’euros en 2021, situe le début de l’incident à quelques semaines plus tôt.
Nouvelle allégation d’une attaque de LockBit contre Thales, dix mois après une première action malveillante qui avait fait pschitt. pic.twitter.com/jRfctS2gD2
— Gabriel Thierry (@gabrielthierry) November 2, 2022
Vol de trois comptes utilisateur
Selon Thales, qui a présenté à la presse un instructif retour d’expérience – une opération de transparence plutôt à son avantage qui devrait lui permettre de redorer son blason – cette crise informatique trouve en effet ses racines dans un vol à la mi-août 2022. Des informations d’identification de trois comptes utilisateurs d’un portail utilisé pour communiquer avec un partenaire, une sorte de Dropbox, sont alors dérobées.
Si Thales ne sait pas avec certitude comment ces trois comptes ont été compromis, elle privilégie deux pistes. A savoir, soit un accès obtenu grâce à la réutilisation d’un mot de passe employé sur un site tiers piraté, ou soit le piratage d’un terminal ayant accès via un navigateur à la synchronisation des mots de passe.
Quoiqu’il en soit, quelques semaines plus tard, l’accès à ces trois comptes est vendu sur un marché noir. La vente est en partie repérée par la veille de Thales. Deux des trois comptes sont en effet ceux d’agents. L’accès à ces deux comptes internes compromis est aussitôt bloqué. Mais l’achat du troisième compte utilisateur, qui dépend de son partenaire industriel, passe lui sous ses radars.
Cinq jours d’exploration
L’entreprise n’a pas précisé le nom du partenaire industriel concerné, une organisation de l’Asie du Sud-Est. Mais le quotidien Le Monde avait remarqué que les documents divulgués par LockBit mentionnaient notamment un projet de Thales et de l’entreprise Novatis Resources pour la mise en place d’outils de surveillance aérienne dans un aéroport malais.
Une fois cet achat effectué, les pirates informatiques, grâce au troisième compte utilisateur toujours actif, vont passer cinq jours à explorer le portail et les données auxquelles ils ont accès. Avant finalement de télécharger depuis un serveur d’hébergement européen peu regardant environ 9 Go de données, soit le volume de données accessible au partenaire de Thales.
« On ne voit plus rien ensuite, jusqu’à la revendication de LockBit du 31 octobre », explique Stéphane Lenco, le directeur sécurité des systèmes d’information de Thales. « On peut spéculer que le courtier en accès initial a ensuite mis en vente les données volées, puis qu’un affilié du groupe LockBit les a achetées. »
400 fichiers uniques
La publication de la revendication d’une attaque sur le site du gang LockBit, la veille d’un jour férié, entraîne l’ouverture d’une cellule de crise chez Thales. Assez rapidement, au bout d’une journée, l’entreprise exclut la piste d’une intrusion sur ses systèmes d’information et le déploiement d’un rançongiciel pour privilégier l’hypothèse d’un vol de données.
11 jours plus tard – là aussi la veille d’un jour férié – le gang divulgue les fichiers dérobés à l’industriel. Soit en tout, après analyse, environ 400 fichiers uniques venus pour la plus grande partie du portail compromis. Une faible part de l’archive, de moins d’1 Go, des fichiers datant de plus de deux ans, provient cependant d’un autre vol.
A défaut d’être certain, Thales suppose qu’il s’agit de données volées à un opérateur interne ou externe de l’entreprise au début de la pandémie de Covid-19. « Cela pourrait correspondre à des données prises dans l’urgence par un salarié devant quitter de manière précipitée son bureau », signale Stéphane Lenco.
Mobile flou
Si Thales convient d’un risque pour sa réputation, la divulgation de ces données n’a pas eu d’impact opérationnel, précise-t-elle. Les données volées sont en effet jugées peu sensibles. Elles étaient classées en interne de niveau deux, ce qui correspond à des données non publiques, mais partagées avec des partenaires.
Reste un point toujours flou pour l’entreprise. Quel était précisément le mobile des pirates de LockBit ? Ces derniers n’ont en effet pas transmis directement de demande de rançon à l’entreprise française, tandis que les habituels liens pour acheter un délai supplémentaire pour éviter la divulgation des données volées n’étaient pas présents.
Pour Thales, LockBit a peut-être voulu se faire une campagne de publicité gratuite avec cette attaque. Autre hypothèse formulée, celle d’une opération visant in fine à manipuler le cours de Bourse de la société. Ou s’agissait-il enfin d’une attaque ciblée visant une entreprise de défense européenne, un secteur sous tension depuis le début de l’invasion militaire russe en Ukraine ?