Capgemini a été visé par une attaque par ransomware. Des fichiers essentiels ont été chiffrés et volés par un mystérieux cybercriminel. Des mois après les faits, une enquête est venue lever le voile sur l’identité du hacker.
En octobre dernier, Capgemini, une entreprise française spécialisée dans les services de conseil, de technologie et d’ingénierie numérique, a été victime d’un ransomware. Comme le rapportent nos confrères du Parisien, le malware a chiffré des informations sensibles stockées sur les serveurs du groupe. Les données concernaient le travail de la firme pour l’un de ses clients.
À lire aussi : Des millions d’utilisateurs de logiciel espion touchés par une fuite massive de données
Knight, le ransomware à l’origine de la cyberattaque
Pour récupérer l’accès à ces informations, Capgemini était invité à verser une rançon. Dans un message adressé à l’entreprise, le mystérieux cybercriminel exige de percevoir 5 000 dollars en Bitcoin. En cas de refus, le pirate menace de revendre toutes les données exfiltrées. Il s’agit donc d’une attaque de double extorsion. En plus de chiffrer les données, les pirate dérobent les informations et menacent de les publier sur des marchés noirs dédiés aux cybercriminels sur le dark web.
L’attaque a été orchestrée à l’aide d’un ransomware bien connu, baptisé Knight. Apparu l’été 2023 comme une évolution du virus Cyclops, Knight est proposé par le biais d’un abonnement ransomware-as-a-service (RAAS). En clair, des cybercriminels en herbe peuvent se servir du malware en réglant un abonnement. C’est pourquoi Capgemini était persuadé que le cybercriminel à l’origine de l’attaque était un affilié membre du réseau Knight. Les indices laissaient même penser qu’il s’agissait d’un hacker provenant de Russie.
Quoi qu’il en soit, Capgemini n’a pas accepté de suivre les ordres des attaquants. La firme française indique avoir rapidement « fait échec à cette tentative isolée d’attaque ». Peu après, le géant de l’informatique a déposé une plainte. Et c’est à ce moment que l’affaire prend une tournure inattendue.
L’ennemi vient de l’intérieur
Les enquêteurs de la brigade de lutte contre la cybercriminalité de la préfecture de Police sont parvenus à remonter jusqu’à l’identité du hacker en l’espace de quelques mois. La tentative d’extorsion n’a pas été mise sur pied par un obscur criminel russe… mais par un employé de Capgemini. Salarié de l’entreprise depuis fin 2021, le jeune homme de 26 ans occupait le poste de « consultant technique ».
D’après l’enquête menée par la police, l’ingénieur, qui travaillait sur un programme de navigation par satellite pour Capgemini, a déniché le malware Knight sur la toile. En se servant d’un ransomware déjà connu, il espérait induire son employeur et les forces de police en erreur. Le pirate a été interpellé à son domicile à Toulouse en mai 2024. Soupçonné d’extorsion en bande organisée, il est toujours en détention, tandis que l’enquête se poursuit.
Ce n’est pas la première fois qu’une entreprise est victime d’un de ses employés. Dans la plupart des cas, le salarié se contente de voler des données personnelles ou d’aider des pirates à exfiltrer des informations sensibles. Il est plutôt rare qu’un employé se fasse passer pour un spécialiste de l’extorsion.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
Le Parisien