Début février, l'opération des hackers sur Swissport a fait les gros titres dans le monde entier. Certains systèmes sont devenus temporairement indisponibles et le trafic aérien a subi des retards. Swissport est le plus grand prestataire de services au monde pour les compagnies aériennes et les aéroports, avec son siège à Opfikon, dans le canton de Zurich.
Jeudi dernier, le porte-parole Stefan Hartung a déclaré à watson: «Les premières recherches ont démontré qu'il est extrêmement peu probable que des données sensibles aient été volées». Les nouvelles investigations de watson prouvent pourtant le contraire.
C'est le gang de ransomware BlackCat, également connu dans le milieu sous le nom d'ALPHVM, qui est à l'origine de l'attaque. Sur le darknet, les maîtres chanteurs vendent depuis mardi toutes les données volées. Selon leurs propres indications, ils seraient en possession de 1,6 téraoctet d'informations.
Pour prouver le succès de leur opération, les BlackCat ont publié un extrait des données volées. Parmi celles-ci figurent des copies de passeport de différentes nationalités, des dossiers de candidature et un extrait d'un rapport d'audit confidentiel. Un tableau dresse plusieurs informations sensibles sur un candidat: son nom, sa nationalité, sa religion, son numéro de téléphone et son évaluation lors de l'entretien d'embauche. Il n'est pas encore possible de dire avec certitude si les données proviennent réellement de Swissport, ce qui semble très probable, ou d'un autre piratage.
Le groupe de pirates menace de publier bientôt d'autres données afin de mettre davantage la pression sur sa victime.
watson a demandé à Swissport de prendre position. L'entreprise a répondu:
La semaine dernière encore, Swissport confiait à watson: «Le Préposé fédéral à la protection des données et à la transparence n'intervient pas, car l'incident de sécurité informatique n'a pas entraîné de fuite de données».
L'attaque de l'infrastructure informatique de la firme a commencé tôt jeudi matin, il y a deux semaines. L'incident a été immédiatement détecté, selon Swissport. «Nos systèmes de sécurité informatique ont détecté l'incident à un stade très précoce, ce qui nous a permis de prendre immédiatement des mesures de défense efficaces et donc fructueuses», a déclaré un porte-parole à watson.
Les systèmes informatiques de planification des employés, des avions et du matériel ont été touchés. Swissport a pu rétablir les systèmes (en partie) relativement rapidement. Mais la fuite de données n'a apparemment pas pu être empêchée, ou pas complètement, contrairement à ce qui avait été déclaré initialement.
Swissport est confronté à une bande de hackeurs extrêmement dangereuse. BlackCat cible actuellement, entre autres, des entreprises des Etats-Unis, d'Ukraine et de Suisse et s'attaque aux systèmes Windows et Linux répandus dans les entreprises.
En Allemagne, par exemple, le groupe a fait parler de lui au début de l'année. Les pirates ont paralysé l'entreprise Oiltank-ing, qui fournit entre autres le grand groupe Shell.
BlackCat n'est actif que depuis peu et a fait sensation dans le milieu avec un logiciel de cryptage apparemment très sophistiqué et avancé. Les hackers cryptent et volent des données afin de disposer d'un moyen de pression supplémentaire si la victime parvient à restaurer les données à l'aide de sauvegardes.
Derrière BlackCat se cachent très probablement les mêmes criminels qui faisaient partie du groupe de ransomware REvil, particulièrement actif. En 2021, REvil était responsable de l'une des plus grandes attaques de piratage par chantage à ce jour, au cours de laquelle 800 à 1500 entreprises ont été infiltrées dans le monde entier. De nombreuses données sensibles ont été volées au cours de l'opération. Début juin 2021, REvil s'est attaqué au plus grand groupe de produits carnés du monde, JBS, et a paralysé une grande partie de la production en Amérique du Nord et en Australie.
En bref, il est fort probable que ces criminels expérimentés aient été à l'œuvre lors du piratage de Swissport.