Le groupe de rançongiciel Lockbit a revendiqué sur son site Internet, mardi 7 février, l’attaque informatique qui paralyse Royal Mail. Depuis le 11 janvier, cet opérateur postal du Royaume-Uni, l’un des plus anciens, est en effet contraint de bloquer l’envoi et la réception du courrier à l’international.
Sur son site, Lockbit menace de diffuser des fichiers soutirés lors de l’attaque initiale. Cette tactique est courante pour les groupes cybercriminels de rançongiciel : le déploiement d’un logiciel malveillant paralysant les systèmes s’accompagne souvent d’un vol de données, qui permet ensuite d’accentuer la pression sur la victime.
Dans le cas de Royal Mail, on ne sait pour l’instant pas exactement quel est le volume de fichiers dérobés par Lockbit, ni leur nature. Par le passé, les cybercriminels de ce groupe ont plusieurs fois laissé entendre qu’ils avaient obtenu des données sensibles, avant de finalement publier des fichiers assez peu importants ou provenant de victimes n’ayant rien à voir avec la revendication initiale. Dans le cas de Royal Mail, Lockbit menace de diffuser les fichiers le 9 février à 4 h 42 du matin (heure de Paris) si la victime ne paye pas la rançon exigée.
Des perturbations qui se poursuivent
S’il faudra attendre la fin du décompte affiché par le groupe pour juger de l’importance et de l’authenticité des fichiers dérobés, les dégâts provoqués par l’opération, eux, sont déjà bien réels : le service postal britannique est fortement perturbé.
Depuis la mi-janvier, l’intégralité des colis internationaux nécessitant un passage en douane électronique est bloquée au Royaume-Uni. Le groupe britannique a par ailleurs dû demander l’aide de son homologue de Jersey pour la fourniture de moyens informatiques, et renforcer un centre de traitement au nord de Londres afin de tenter de résorber le retard pris dans la gestion du courrier. La société a également suspendu, temporairement, la prise en charge des colis à destination de l’étranger, avant de rétablir en partie le service au début de février. Le coût global de l’attaque n’a pas été chiffré mais devrait être très important.
Peu de temps après l’annonce du piratage, plusieurs sources avaient accusé Lockbit d’en être à l’origine. Son porte-parole avait d’abord nié, avant de faire volte-face et de laisser entendre le 14 janvier sur un forum qu’un affilié du groupe en était bien à l’origine. Ce qu’est venue officialiser la revendication affichée à présent sur leur site. Royal Mail était jusqu’en 2013 un service public britannique, mais le gouvernement s’en est progressivement désengagé tout en menant l’ouverture du marché britannique du courrier à la concurrence. Le groupe reste néanmoins l’un des principaux opérateurs postaux du pays.