Connexion expirée. Comme depuis plusieurs jours, ce jeudi 8 mai, le site du spécialiste de l’ingénierie LGM Group ne répond toujours pas. L’entreprise francilienne aux 1500 salariés, qui travaille notamment avec sa solution de maintenance prédictive au profit de l’armée de terre, a en fait été victime d’une attaque par rançongiciel.
Les cybercriminels de Termite affirment en effet sur leur site avoir volé environ 550 gigaoctets de données à l’entreprise, soit environ 700 000 fichiers.
Une revendication notamment repérée par le portail Ransomware.live, mis en place par un expert français de l’informatique, Julien Mousqueton.
According to Ransomware.live, termite ransomware group has added LGM to its victims.
— Ransomware.live (@ransomware.live) 6 mai 2025 à 00:14
Vol de données
Contactée par ZDNET.fr, l’entreprise a confirmé avoir subi une attaque informatique, aux modalités pour l’instant inconnues ou non divulguées. Elle s’est soldée par un vol de données – il n’y a pas eu de chiffrement de données sur le système d’information de l’entreprise victime – dont l’ampleur reste à vérifier.
L’entreprise, qui a déposé plainte, est en effet en train d’analyser les données qui pourraient avoir été exfiltrées. Accompagnée par l’Anssi, le cyber-pompier français, LGM Group précise être toujours en capacité de poursuivre ses activités de production malgré l’intrusion informatique.
« Nous étions préparés de longue date, à l’éventualité d’une cyberattaque avec des procédures établies que nous avons rapidement appliquées », indique la société, qui avait réalisé en 2024 un chiffre d’affaires d’environ 165 millions d’euros.
D’autres victimes en France
Utilisant visiblement une version modifiée de Babuk, selon les observations de Symantec, les cybercriminels de Termite se sont déjà attaqués à des organisations françaises. Outre des cibles aux États-Unis, au Royaume-Uni, au Japon, en Norvège, ou en Australie, la franchise, repérée à l’automne 2024, a déjà ainsi notamment épinglé à son tableau de chasse le département de La Réunion ou encore l’école d’ingénieurs Cesi.
Après la fuite du builder de Babuk en 2021, la souche avait malheureusement fait école. Assez classiquement, les cybercriminels de Termite, après avoir volé des données, déploient leur rançongiciel sur les systèmes de leurs victimes. Qui découvrent alors leurs fichiers avec l’extension .termite.
Si l’année 2024 s’était soldée par une baisse du nombre de nouveaux dossiers ouverts par la justice française pour des affaires de rançongiciel, la menace est toujours forte. « L’activité des groupes de rançongiciel, qui représentent une part significative de l’activité cybercriminelle, s’est poursuivie avec une intensité importante en 2024 », précisait ainsi l’Anssi dans son dernier panorama de la menace.