Plusieurs milliers de clients du groupe Voyageurs du monde ont vu les informations de leurs passeports divulgués sur Internet le 30 mai. L’agence de voyages, victime d’une cyberattaque à la mi-mai, avait annoncé avoir refusé de verser une rançon. « A date, aucun élément ne permet de nous indiquer que des données de nos clients ont été dérobées », expliquaient alors les représentants du groupe. Depuis, le groupe de hackeurs russophone, baptisé Lockbit, a publié les passeports de clients de l’agence de voyages – près de dix mille, selon leurs dires.
Le parquet de Paris a ouvert une enquête préliminaire, confirmant lundi 5 juin à l’Agence France-Presse (AFP) une information de FranceInfo, pour « extorsion en bande organisée » et « association de malfaiteurs en vue de commettre un crime ou un délit puni de cinq ans d’emprisonnement », mais aussi des chefs d’accusation relatifs aux cyberattaques.
Documents sensibles
Les informations diffusées concernent en grande majorité des clients français. Les près de 10 000 passeports que Lockbit dit avoir publiés sur le darknet pourraient servir pour usurper des identités, contracter des prêts bancaires, voire s’essayer au montage de diverses cyberescroqueries.
Contacté par Le Monde, Jean-François Rial, PDG du Groupe Voyageurs du monde souligne qu’« aucune information sensible ou donnée biométrique [de leurs clients] n’est sur le darknet ». Et d’ajouter que « les gendarmes et policiers nous conseillent de dire à nos clients de ne pas porter plainte ou de ne pas changer de passeport ». Une semaine après l’attaque, Voyageurs du monde a repris « l’essentiel de [ses] activités ». D’après M. Rial, le groupe de hackeurs se serait procuré « un mot de passe d’un collaborateur d’une filiale pour pénétrer dans le système. »
Lockbit n’en est pas à son coup d’essai. Le groupe, du nom du logiciel éponyme créé en 2019, a déjà mené plusieurs attaques sur des entreprises ou des collectivités françaises. Les hackeurs avaient été à l’origine des cyberattaques au sein du groupe électronique Thales en janvier 2022, de La Poste en juillet de la même année et au mois d’août de l’hôpital de Corbeil-Essonnes.
A chaque cyberattaque, le groupe de hackeurs a recours au même mode opératoire : leur outil, qu’on appelle un rançongiciel (« ransomware » en anglais) leur permet de télécharger des copies des données sensibles, mais aussi de chiffrer les originales : il ne reste plus qu’à réclamer une rançon en échange de la récupération de ces données.
Dans le cas de l’attaque contre Voyageurs du monde, les passeports publiés sont ceux de clients ayant voyagé via le comité social et économique (CSE) de leur entreprise, ou par le biais d’associations. « Cette clientèle ne représente que 2 % de notre activité », minimise le directeur général de Voyageurs du monde.