Le 13 février au soir, les 80 serveurs de la région Grand Est ont été corrompus par une cyberattaque. Les données de l'ensemble du système ont été chiffrées, et une demande de rançon a été faite. La région n'y a pas répondu, et tente de ramener progressivement la situation à la normale.

C’est tout le réseau informatique de la région Grand Est qui est compromis. La collectivité a été touchée par un rançongiciel le 14 février 2020. Ce type de cyberattaque consiste à chiffrer toutes les données du réseau, c’est-à-dire à les rendre illisibles, puis à exiger une rançon contre la remise d’une clé pour les déchiffrer.

La Région a refusé de payer, et travaille à rétablir son système progressivement, à partir de sauvegardes. Pour l’instant, la collectivité ne sait pas exactement quelles données ont été compromises, précise à Cyberguerre le directeur du Numérique de la Région, Pierre Gundelwein.

« Aujourd’hui, nous sommes encore en période d’investigation, donc nous restons prudents. Nous travaillons avec un prestataire externe spécialisé, et nous sommes en relation avec l’ANSSI (Agence nationale de la sécurité des systèmes d’information) et le CERT [la cellule de gestion des urgences, ndlr] », nous précise-t-il.

De son côté, le président du conseil régional s’est exprimé sur Twitter le jeudi 20 février.

Tout le système informatique est compromis

Pierre Gundelwein, aux premières loges de l’attaque, puisque responsable du système informatique de la Région, nous explique que c’est l’ensemble des 80 serveurs de la région qui a été touché. Toutes les données ont été chiffrées par un crypto-locker. Dès le vendredi 14 au matin, après avoir constaté l’attaque, il s’est déplacé à Strasbourg pour avertir le président du conseil régional, Jean Rottner. « C’est la première fois que je le rencontrais », nous dit-il.

Les rançongiciels partent le plus souvent d’un hameçonnage : un employé ouvre une pièce jointe qu’il n’aurait pas dû. // Source : Claire Braikeh pour Numerama

Lors de la commission permanente de l’assemblée le jour même, le dirigeant fait part de l’attaque publiquement. Mais la presse n’en parle qu’à partir du mercredi 19 février, à la suite de la publication d’un article par l’Union. La situation est alors confuse. L’article évoque un « virus », qui touche certaines personnes, mais pas d’autres. Des agents expliquent qu’ils ne peuvent plus utiliser leur badge, car le programme de la machine ne fonctionne plus.

De son côté, Pierre Gundelwein et ses équipes opèrent méthodiquement : « Nous avons dans un premier temps consolidé notre infrastructure, puis nous rétablissions progressivement les sauvegardes. Dans le même temps nous essayons d’éradiquer toute trace du logiciel malveillant. »

Les pièces jointes désactivées pour empêcher le rançongiciel de contaminer d’autres systèmes

Les perturbations dans les services sont donc liées au rétablissement progressif d’une ancienne sauvegarde du système. Cette restauration s’accompagne d’une consolidation du réseau, pour garantir qu’une autre attaque ne frappera pas.«  Il n’y a pas eu de pertes de données, puisque nous avons une sauvegarde de l’ensemble des systèmes, datée de jeudi soir », rappelle le directeur du Numérique.

Après avoir averti les autorités compétentes, Pierre Gundelwein a également pris des premières précautions de sécurité. « Nous avons rétabli le service d’email, mais nous avons bloqué la possibilité d’envoyer des pièces jointes avec les adresses email de la Région », explique-t-il. Cette mesure de conservation a pour objectif d’empêcher la contamination du logiciel malveillant (qui passe par les pièces jointes) à d’autres entreprises ou collectivités.

Parallèlement, toute l’équipe de direction de la Région s’est rejointe dans une cellule de crise, dès le dimanche soir, pour faire un État des lieux et prévoir le fonctionnement des services. Elle se réunit depuis tous les deux jours. De son côté, Pierre Gundelwein nous dit qu’il travaille, avec les huit autres agents de la Région, de 7 heures à 21 heures.

L’attaque identifiée, mais non revendiquée

L’attaque a été identifiée : il s’agirait d’un cheval de Troie de type Dridex. Habituellement utilisés pour le vol d’information bancaire, ces logiciels malveillants permettent de déployer toutes sortes d’attaques une fois installées sur le système. Dans le cas de Dridex, il se répand généralement par un document Microsoft Word infecté. Si la cible ouvre le document et active les macros (des petits programmes qui permettent d’exécuter des fonctionnalités Word), le logiciel se déploie sur l’ordinateur. Généralement, les malfaiteurs  incitent leurs victimes à cliquer sur un bouton pour activer les macros en prétendant qu’il sert à ouvrir le contenu du document Word.

L’analyse du système n’est pas terminée

Une fois le cheval de Troie en place, il peut déployer des colis, qui contiennent d’autres logiciels malveillants. Dans le cas de la Région Grand Est, le logiciel a pu se déplacer de machine en machine en utilisant l’annuaire, qui est une sorte d’index des gestions des identifiants et de l’authentification de l’ensemble du réseau. À chaque fois, il aurait déposé un autre logiciel cryptoverrouilleur, qui chiffre non seulement tout le contenu de Windows, mais aussi des applications. C’est pourquoi l’ensemble du service informatique de la région, des adresses emails aux machines pour badger, a été hors service.

L’analyse du système n’est pas encore terminée, et les équipes n’ont pas identifié précisément comment le cheval de Troie est entré dans le système. « Nous étudions également les pare-feux pour voir s’il y a eu d’autres attaques », ajoute Pierre Gundelwein.

La Région n’a pas payé la rançon, comme conseillé par les experts

«  La consigne est de ne pas payer, car cela revient à montrer sa faiblesse. D’une part, cela augmente le risque d’être réattaqué et de l’autre, il y a un risque de surenchère dans la rançon », nous explique Loïc Guézo, directeur stratégie de Proofpoint.

Et ce n’est pas tout : au-delà de l’aspect stratégie, le paiement de la rançon ne permet pas d’économiser sur d’autres coûts. « Même si vous payez, il y aura un problème de confiance dans votre système. Il faut quand même analyser et reconstruire une partie de système. Donc il y aura quand même un coût lié à l’arrêt de production le temps de réparer le système, et de payer le service de reconstruction », développe-t-il.

Plus d’informations dans les prochaines semaines

Reste un risque de divulgation des informations. En plus de chiffrer les données, le plus souvent, les rançonneurs en font une copie. Au lieu de menacer de couper le doigt d’un otage, ils peuvent ainsi menacer de diffuser une partie des données. 

Le Monde précise qu’aucune donnée  en lien avec les ressources humaines n’a été dérobée : elles seraient stockées dans un espace différent qui n’aurait pas été touché. Nous n’avons pas pu confirmer cette information. Pour connaître la véritable ampleur de l’attaque, il faudra attendre plusieurs semaines.

Article publié initialement le 21 february 2020 et mis à jour le 30 june 2020

Partager sur les réseaux sociaux