Paralysée par un ransomware, la métropole de Marseille n'attend un retour à la normale que fin mai

En mars, le Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (CERT-FR) a indiqué que plusieurs collectivités locales françaises sont victimes d'un rançongiciel particulièrement retors. Durement touchée, la métropole de Marseille n'a toujours pas pu rétablir ses systèmes un mois plus tard, et n'anticipe pas de retour à la normale avant fin mai.

Partager
Paralysée par un ransomware, la métropole de Marseille n'attend un retour à la normale que fin mai

Actualisation (14/04/2020) : Un mois plus tard, les hackers continuent à réclamer une rançon. La métropole marseillaise a indiqué que son combat contre les cybercriminels qui perturbent son système informatique n’est pas totalement terminé. Si les services de l’état civil sont désormais en mesure de communiquer à l’Insee les données quotidiennes de décès liées à la pandémie de Covid-19, les agents de la collectivité ne peuvent toujours pas utiliser leurs ordinateurs ou messageries électroniques. Travaillant en lien avec Orange Cyberdéfense et l’Anssi, la métropole de Marseille a estimé qu’un retour à la normale pourrait intervenir d’ici à la "fin du mois de mai".

Article original : Le Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (CERT-FR) alerte sur des cyberattaques par ransomware ciblant les collectivités locales dans un bulletin publié le 18 mars 2020. Il s'agit du malware Mespinoza, repéré pour la première fois en octobre 2019.

La Ville de Marseille et la région Provence-Alpes-Côte d'Azur (Paca) ont indiqué coup sur coup, en début de semaine, avoir été "très durement touchées" par ce même rançongiciel. Ce dernier a coupé l'accès de leurs employés à des services essentiels à leur bon fonctionnement, notamment un logiciel dédié à la comptabilité.

UN CHANGEMENT DE CIBLE
Les victimes de ce ransomware étaient jusuq'à présent principalement des grandes entreprises, car elles sont plus fortunées et ont besoin de retrouver rapidement l'accès à leurs données, souvent stratégiques pour le fonctionnement de leur activité. Selon le CERT-FR, c’est donc un changement de stratégie qu’opèrent les criminels en s’en prenant à des organisations gouvernementales.

Si les méthodes utilisées pour pénétrer les réseaux ne sont pas connues, l'analyse forensique du CERT-FR laisse à penser que des attaques par force brute sur des comptes Active Directory ou des consoles de supervision sont en cause, suivi du téléchargement des identifiants et mots de passe de l'entreprise. Des connexions non autorisées aux contrôleurs de domaines via le protocole RDP ont aussi été détectées.

Pas de solution pour le moment
L’attaque pourrait encore évoluer. Le CERT-FR rapporte avoir découvert un fichier en ".newversion" dans l’un des cas examinés. Ses spécialistes, qui ont étudié les algorithmes de chiffrement employés, disent ne pas avoir été en mesure de débloquer l’accès aux fichiers pour le moment. Selon l’agence gouvernementale, le ransomware fait état d’un code "très court et spécifique", qui serait "basé sur des modules issus de bibliothèques Python publiques".

Dans un entretien à nos confrères de ZDNet, le créateur du service ID Ransomware, Michael Gillespie, a affirmé que ce type d’attaque "ne se cantonne pas à la France, puisqu'il est constaté sur tous les continents, aussi bien dans les organisations publiques que privées".

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS