Recevez chaque jour toute l'actualité du numérique

x

Paralysée par un ransomware, la métropole de Marseille n'attend un retour à la normale que fin mai

Hack of the week En mars, le Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (CERT-FR) a indiqué que plusieurs collectivités locales françaises sont victimes d'un rançongiciel particulièrement retors. Durement touchée, la métropole de Marseille n'a toujours pas pu rétablir ses systèmes un mois plus tard, et n'anticipe pas de retour à la normale avant fin mai.
mis à jour le 14 avril 2020 à 12H20
Twitter Facebook Linkedin Flipboard Email
×

Paralysée par un ransomware, la métropole de Marseille n'attend un retour à la normale que fin mai
Paralysée par un ransomware, la métropole de Marseille n'attend un retour à la normale que fin mai © Jean-Christophe Barla

Actualisation (14/04/2020) : Un mois plus tard, les hackers continuent à réclamer une rançon. La métropole marseillaise a indiqué que son combat contre les cybercriminels qui perturbent son système informatique n’est pas totalement terminé. Si les services de l’état civil sont désormais en mesure de communiquer à l’Insee les données quotidiennes de décès liées à la pandémie de Covid-19, les agents de la collectivité ne peuvent toujours pas utiliser leurs ordinateurs ou messageries électroniques. Travaillant en lien avec Orange Cyberdéfense et l’Anssi, la métropole de Marseille a estimé qu’un retour à la normale pourrait intervenir d’ici à la "fin du mois de mai".

Article original : Le Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (CERT-FR) alerte sur des cyberattaques par ransomware ciblant les collectivités locales dans un bulletin publié le 18 mars 2020. Il s'agit du malware Mespinoza, repéré pour la première fois en octobre 2019.

La Ville de Marseille et la région Provence-Alpes-Côte d'Azur (Paca) ont indiqué coup sur coup, en début de semaine, avoir été "très durement touchées" par ce même rançongiciel. Ce dernier a coupé l'accès de leurs employés à des services essentiels à leur bon fonctionnement, notamment un logiciel dédié à la comptabilité.

UN CHANGEMENT DE CIBLE
Les victimes de ce ransomware étaient jusuq'à présent principalement des grandes entreprises, car elles sont plus fortunées et ont besoin de retrouver rapidement l'accès à leurs données, souvent stratégiques pour le fonctionnement de leur activité. Selon le CERT-FR, c’est donc un changement de stratégie qu’opèrent les criminels en s’en prenant à des organisations gouvernementales.

Si les méthodes utilisées pour pénétrer les réseaux ne sont pas connues, l'analyse forensique du CERT-FR laisse à penser que des attaques par force brute sur des comptes Active Directory ou des consoles de supervision sont en cause, suivi du téléchargement des identifiants et mots de passe de l'entreprise. Des connexions non autorisées aux contrôleurs de domaines via le protocole RDP ont aussi été détectées.

Pas de solution pour le moment
L’attaque pourrait encore évoluer. Le CERT-FR rapporte avoir découvert un fichier en ".newversion" dans l’un des cas examinés. Ses spécialistes, qui ont étudié les algorithmes de chiffrement employés, disent ne pas avoir été en mesure de débloquer l’accès aux fichiers pour le moment. Selon l’agence gouvernementale, le ransomware fait état d’un code "très court et spécifique", qui serait "basé sur des modules issus de bibliothèques Python publiques".

Dans un entretien à nos confrères de ZDNet, le créateur du service ID Ransomware, Michael Gillespie, a affirmé que ce type d’attaque "ne se cantonne pas à la France, puisqu'il est constaté sur tous les continents, aussi bien dans les organisations publiques que privées".

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media