La commune vaudoise de Rolle, située au bord du lac Léman, a été touchée par une fuite massive de données. Les criminels ont publié une grande quantité de documents internes et confidentiels sur le darknet.
La publication illégale de ces fichiers est l'œuvre d'un groupe de pirates formé relativement récemment et répondant au nom de Vice Society. Pour l'heure, il s’agirait d'une tentative d'attaque par ransomware (rançongiciels en français). Les pirates se débrouillent pour insérer un logiciel malveillant dans le système d'une entreprise afin qu’il bloque l’accès aux fichiers. Les pirates réclament ensuite à la victime le paiement d’une rançon pour en obtenir à nouveau l’accès.
Toutefois, le contexte de cette attaque n'est pas très clair. D'après les informations dont dispose watson, le vol de données a eu lieu à la fin du mois de juin. Du moins c'est ce que suggère l'horodatage des fichiers publiés sur le darknet. Mais par la suite, aucune lettre de chantage n'est parvenue à l'administration communale de Rolle.
En charge de l'administration, Julien Bocquet, ne savait rien de l'attaque, jeudi, lorsque watson lui a indiqué que les documents de sa commune avaient été rendus disponibles sur le darknet.
On ne le sait pas. Apparemment, les criminels ont pu accéder à un serveur de la municipalité pendant une longue période. Ils ont par la suite pu en extraire gigaoctet après gigaoctet sans se faire remarquer.
Parmi les documents publiés sur le darknet figurent les boîtes mails Outlook de l'ancien maire et du chef de l'administration. Des documents sur la planification financière de la municipalité ont également été trouvés.
Vice Society est un groupe de ransomware qui n'est actif que depuis quelques mois. Il a déjà attaqué des entreprises et des organisations sur plusieurs continents.
Le groupe cible également les écoles publiques et autres établissements d'enseignement, avertissent les chercheurs en sécurité de Cisco Talos dans un rapport récent.
Comme il s'agit d'un nouvel acteur dans ce domaine, les méthodes d'attaque de la Vice Society sont difficiles à analyser finement pour l'heure. Toutefois, les observations effectuées après certaines attaques de ce groupe ont montré qu'ils exploitaient rapidement les nouvelles fragilités informatiques. Ce, pour «se déplacer latéralement et rester dans le réseau d'une victime».
La dernière victime connue de ces cybercriminels? Un hôpital d'Arles, dans le sud de la France. Jeudi, le directeur de cet établissement de 450 lits a confirmé l'attaque ayant frappé son organisation au milieu d'une violente vague de Covid. Le personnel médical n'avait pas accès aux dossiers des patients et le logiciel de ressources humaines nécessaire au versement des salaires était hors service.
Pour Rolle, on ne sait pas encore précisément. La municipalité a probablement ouvert une enquête interne. Mais comme nous l'indiquions, aucune question ne recevra de réponse pour l'instant.
En règle générale, les groupes de ransomware obtiennent les informations de connexion via des victimes peu méfiantes par le biais d'opérations de phishing. Par exemple en se faisant passer pour un organisme de confiance pour subtiliser les accès à un système protégé. Ils s'en servent, ensuite, pour pénétrer dans le réseau informatique.
Selon les derniers rapports, ils exploitent une faiblesse technique du logiciel Windows appelée «PrintNightmare» pour distribuer leurs logiciels malveillants dans le réseau.
On ne sait pas si le serveur de l'administration communale de Rolle a également pu être espionné et pillé grâce à cette méthode. Cela reste néanmoins probable. Les informations relatives à cette vulnérabilité de Windows ont accidentellement été dévoilées par des chercheurs en sécurité au début du mois de juin. Début juillet, Microsoft, le propriétaire de Windows, a publié des mises à jour pour combler le trou dans la sécurité de son système.
En règle générale, les groupes utilisant les ransomware ont un comportement spécifique. Ils obtiennent petit à petit l'accès à l'ensemble des données d'un système. Après cette phase d'espionnage et de vol, ils mettent fin à l'attaque en cryptant les répertoires locaux et en les rendant illisibles. Puis, ils demandent une rançon pour leur libération.
Selon les informations dont dispose watson, ce n'était pas le cas à Rolle. Pourquoi? Ce n'est pas clair.
En ce sens, l'administration aurait eu de la chance dans son malheur? Le fait est que des documents internes et des informations vraisemblablement confidentielles sont accessibles sur le darknet. Il est important de noter que l'étendue de la fuite de données ne peut, pour l'heure, être évaluée ni les dommages quantifiés. On ne sait pas non plus quand et si les responsables voudront informer la population.
Adapté de l'allemand par jah, la version originale ici.
