La Poste mobile, un opérateur téléphonique appartenant au groupe La Poste et comptant environ 1,8 million d’abonnés, a été victime d’une attaque informatique, a annoncé la société vendredi 8 juillet dans un communiqué. « Les services administratifs et de gestion de La Poste mobile ont été victimes, ce lundi 4 juillet, d’un virus malveillant de type rançongiciel », a affirmé l’entreprise.
Les rançongiciels sont des virus conçus pour paralyser le système informatique d’une organisation. Les assaillants commencent généralement par s’infiltrer sur un réseau, prennent le contrôle d’un certain nombre d’appareils, puis infectent le parc informatique d’une entité (entreprise, collectivité, hôpital, association…) pour le rendre inutilisable. Ils demandent ensuite une rançon à leur victime en échange de la clé de déchiffrement permettant de rétablir les fichiers des appareils concernés.
Des données potentiellement volées
Le site de La Poste mobile et son espace client sont pour le moment inaccessibles, un message expliquant désormais que l’opérateur a été victime d’une attaque. « Les équipes informatiques de La Poste mobile procèdent actuellement au diagnostic de la situation. Les premières analyses établissent que les serveurs essentiels au fonctionnement des lignes mobiles des clients ont bien été protégés », promet le groupe.
L’intrusion a été revendiquée dans la nuit de jeudi à vendredi par Lockbit, un gang prolifique spécialisé dans le rançongiciel et ayant recruté un grand nombre d’affiliés, ces complices spécialisés dans l’intrusion informatique.
Il est « possible que des fichiers présents dans des ordinateurs de salariés de La Poste mobile aient été affectés », explique La Poste dans son communiqué, ajoutant que « certains d’entre eux pourraient contenir des données à caractère personnel », sans préciser davantage lesquelles. Sur son site, Lockbit a pour sa part affirmé avoir volé un certain nombre de fichiers à l’entreprise, et a d’ores et déjà diffusé trois captures d’écran de ce qui ressemble à une liste de clients, contenant des noms, prénoms, villes, numéros de téléphone et adresses e-mail.
Comme beaucoup de gangs pratiquant l’extorsion et le vol de données, Lockbit dispose d’un site sur lequel il publie au fil de l’eau les noms de ses victimes ainsi que des documents volés lors de ses attaques. En principe, un décompte est affiché, avertissant les lecteurs, et les victimes, que tous les fichiers exfiltrés seront publiés après un certain laps de temps. Cette méthode couramment utilisée sert à faire pression sur les entreprises attaquées pour les pousser à payer la rançon demandée.
Quelques indices sur la localisation des opérateurs et affiliés de Lockbit existent à ce jour. Comme beaucoup de logiciels de ce type, le rançongiciel de Lockbit est conçu de façon à ne pas infecter les ordinateurs situés en Russie ou dans les pays russophones. Par ailleurs, le noyau du groupe s’est montré actif sur un forum de discussion en russe très connu dans la sphère cybercriminelle. Deux éléments qui peuvent suggérer que des membres du groupe sont au minimum russophones, voire opèrent depuis la Russie ou un pays proche.