Le gang de pirates russes dit les «Clop» a mis sa menace à exécution: sur le site des célèbres cybercriminels, de nombreux noms d'entreprises, parfois très connus, se sont affichés jeudi. Parmi elles: Shell, la plus grande entreprise mondiale de pétrole et de gaz naturel, mais aussi l'assurance maladie suisse ÖKK et l'exploitant de villages de vacances Landal, qui opère également dans notre pays.
Jusqu'à présent, la fuite de données est restée limitée, comme le montrent les recherches de watson. Mais d'autres victimes devraient suivre.
La semaine dernière, le gang russophone avait annoncé via son site dans le darknet qu'il avait piraté des entreprises en masse grâce à une faille peu connue dans un outil de transfert de fichiers nommé MOVEit. Le gang de cybercriminels n'avait alors pas listé ses cibles, mais avait demandé aux personnes concernées qui utilisaient l'outil logiciel de prendre contact au plus tard le 14 juin 2023.
Comment ont-ils procédé? Les auteurs ont exploité des failles dans le logiciel MOVEit transfer pour voler secrètement des données sur les serveurs. Et maintenant, dans le cadre de l'attaque «hack and leak», ils menacent de publier les données sur le Darknet.
watson s'est renseigné auprès de l'assureur-maladie suisse ÖKK. L'entreprise grisonne confirme une cyberattaque de ce type en lien avec le logiciel de transfert de fichiers MOVEit transfer.
«Nous faisons partie des nombreux organismes présumés concernés. Notre système central contenant les données de santé n'est cependant pas concerné», explique Patrick Eisenhut, responsable de la communication chez ÖKK. Ce sont les données personnelles telles que le prénom et le nom qui sont concernées, précise-t-il.
«Nous avons pris des mesures immédiates et travaillons avec des partenaires externes», explique encore Patrick Eisenhut. Les spécialistes en cybersécurité ont «déjà levé l'alerte» et la plateforme concernée a été remise en service.
Les organisations partenaires ont déjà été informées et examinent actuellement la possibilité d'informer directement les clients.
Selon la description trouvée sur son site Internet, ÖKK est une entreprise d'assurance active dans toute la Suisse avec 30 agences, qui compte environ 190 000 personnes privées au niveau de la clientèle, ainsi que 13 000 entreprises et institutions publiques. Le volume annuel des primes s'élève à 800 millions de francs. ÖKK emploie environ 490 collaborateurs et une quinzaine d'apprentis.
Interrogé par Watson, Simone Clemens, porte-parole des médias pour Landal GreenParks confirme que l'entreprise utilise le logiciel ciblé, MOVEit.
Landal GreenParks est une entreprise touristique néerlandaise qui exploite une chaîne de parcs de vacances en Europe et propose également des hébergements en Suisse, au bord du lac des Quatre-Cantons et dans les Grisons.
Par mesure de précaution, l'autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens) et les invités ont été informés. En outre, le serveur concerné a été immédiatement désactivé et reconfiguré «afin s’assurer que les personnes non autorisées ne puissent plus y accéder».
La porte-parole des médias développe:
Cette donnée n'est pas encore connue. Des centaines d'entreprises et d'organisations dans le monde entier auraient utilisé le logiciel de transfert de fichiers MOVEit transfer.
Sur la page Darknet de «Clop», on trouve désormais quelques nouveaux noms, dont:
Comme le montre l'exemple de ÖKK, on peut se demander si ces organisations ont subi, elles aussi, d’importantes fuites de données. «Définitivement», dit l'expert suisse en sécurité informatique Marc Ruef.
Il est très difficile d'évaluer l'ampleur et les conséquences de l'attaque de masse de «Clop». Un «exploiting» (exploitation de la faille) aurait commencé très tôt et aurait pris de nombreuses entreprises à contre-pied.