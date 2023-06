La liste des victimes n'en finit plus de s'allonger. Un mois après son attaque contre le logiciel de transfert de données MOVEit, le groupe de hackers russes Clop revendique désormais près de 50 victimes. À ce chiffre, s’ajoutent des organisations qui ont reconnu avoir été touchées.



La dernière liste, publiée par le groupe sur sa plateforme d’échanges de données, contient une vingtaine de noms supplémentaires. On y retrouve notamment Sony, les deux cabinets d’audit et de conseil PWC et Ernst & Young, ou encore l’éditeur de logiciels de cybersécurité NortonLifeLock.



Mi-juin, Clop avait déjà assuré avoir mis la main sur des données du groupe pétrolier britannique Shell, de banques américaines, de compagnies d’assurance ou encore d’universités. Le groupe de pirates assure que la liste des victimes sera mise à jour “petit à petit”. À chaque fois, il réclame le paiement d'une rançon, faute de quoi il menace de publier en ligne ou de revendre les données qu’il a récupérées.

Des milliers de victimes potentielles

Les pirates ont bénéficié d'une faille de sécurité au sein de MOVEit. Celle-ci avait été identifiée fin mai par son concepteur, l’éditeur américain Progress Software. Elle “pourrait permettre à un attaquant non authentifié de gagner un accès non autorisé aux bases de données”, reconnaissait alors la société. Elle assure désormais avoir corrigé cette vulnérabilité.



MOVEit est utilisé par “des milliers d'entreprises à travers le monde”, indique Progress sur son site Internet. Le logiciel leur permet de transférer des données sensibles avec leurs partenaires, clients ou utilisateurs. Il est disponible à la fois sur site et dans le cloud. Selon le chercheur en cybersécurité Kevin Beaumont, les deux versions ont été touchées.



D'après les décomptes de Shodan, un moteur de recherche pour les appareils et les bases de données exposés publiquement, plus de 2500 serveurs MOVEit Transfer sont accessibles sur Internet, majoritairement aux États-Unis et au Royaume-Uni. Plusieurs administrations américaines, dont le département de la sécurité intérieure, et plusieurs banques utilisent ce service, avance Kevin Beaumont.

Victimes indirectes

Depuis l’attaque, d’autres victimes se sont fait connaître. La semaine dernière, Calpers, le plus grand fonds de pension américain, qui gère le système de retraite des employés publics de Californie, a reconnu que les données personnelles de près de 800.000 membres avaient été dérobées.



Le fonds est une victime indirecte de l’attaque. Il a été touché par l’intermédiaire de PBI Research Services, une entreprise qui recense les décès aux Etats-Unis. Deux assureurs, aussi clients de ce service, ont aussi reconnu que les données de plus de quatre millions d’assurés ont été exfiltrées.



Au Royaume-Uni, British Airways, la BBC et d’autres ont également été touchés indirectement par l’intermédiaire de Zellis, une société britannique qui gère la paie de près de la moitié des entreprises du FTSE 100. Les données personnelles de leurs employés ont ainsi été dérobées par le groupe russe.



Toujours outre-Manche, l’Ofcom, le régulateur des télécoms, a indiqué que des documents confidentiels avaient été volés. Selon la BBC, Transport for London, l’autorité qui gère les transports dans la capitale britannique, est aussi impactée. Autres victimes : le département américain à l'énergie, l’université américaine Johns Hopkins, et le gouvernement de la province canadienne de la Nouvelle-Ecosse.