Le ministère de la Justice n'est pas passé loin d'un scandale qui aurait pu remettre en cause la qualité de la cybersécurité du gouvernement. Le groupe de cybercriminels Lockbit 2.0 assurait le 27 janvier avoir volé des données provenant du site justice.fr, avec l'intention de les publier le 10 février s'ils ne recevaient pas d'ici là, la rançon exigée. Sans expliquer leur changement de stratégie, les pirates ont finalement décidé de partager les documents dérobés le 2 février, mais il s'avère que ceux-ci ont une valeur bien moins importante que ce qu'ils laissaient entendre.
De nombreuses exagérations
Les 10 000 fichiers en question n'appartenaient pas au ministère de la Justice, mais à un cabinet d'avocats de Caen (Calvados). Les données contiennent bien certaines informations confidentielles, comme des enregistrements vocaux de procès-verbaux des affaires traitées pour leurs clients, mais a priori aucune susceptible de faire trembler la République. La Chancellerie avait d'ailleurs pris soin de ne pas confirmer la cyberattaque, indiquant simplement s’être « immédiatement organisée pour procéder aux vérifications nécessaires, en lien avec les services compétents dans ce domaine ».
Ce n'est pas la première fois que Lockbit 2.0 simule une attaque ou essaye d'en exagérer l'ampleur. En octobre, ces hackers ont affirmé avoir piraté les systèmes informatiques de Transdev, mais le groupe de transport a révélé que la véritable victime était en réalité l'un de ses clients américains. L'entreprise Schneider Electric a également réfuté leurs allégations de vol de fichiers en décembre : une fois de plus, c'est un partenaire qui avait été touché. Thales Alenia Space, société spécialisée dans l'industrie spatiale, a de son côté reconnu en janvier une exfiltration de données, mais a assuré qu'elles ne présentaient qu'un « faible niveau de sensibilité ».
Une double extorsion
« Il ne faut pas pour autant les prendre pour des amateurs », tempère Alban Ondrejeck, co-fondateur de la start-up Anozr Way et ex-officier des services de renseignements français, en rappelant qu'il s'agit de l'un des groupes de cybercriminels les plus actifs en France. Découvert en 2019 et anciennement connu sous le nom sous le nom « ABCD », Lockbit 2.0 s'est spécialisé dans le « ransomware as a service » (« rançongiciel considéré comme service », ou RaaS). Concrètement, plusieurs malfaiteurs ont développé un rançongiciel performant et le louent à des « affiliés », qui les rémunèrent en leur versant un pourcentage des butins obtenus à la suite de leurs cyberattaques.
Le groupe se caractérise également par une utilisation intensive de la double extorsion, une technique de plus en plus fréquente dans ce milieu. « Les hackers de Lockbit 2.0 ne se contentent plus de chiffrer les données et de demander une rançon, explique l'expert en cybersécurité. Ils menacent de les publier afin d'asséner un coup de pression supplémentaire sur leurs victimes ». Parmi ces dernières, on retrouve notamment le géant du conseil Accenture, la ville de Saint-Cloud (Hauts-de-Seine) et le constructeur aéronautique Airbus.
Des attaques concentrées sur les activités sensibles
« Lockbit 2.0 concentre la plupart de ses attaques sur les milieux de la défense, ou du moins sur des activités sensibles », analyse Alban Ondrejeck. Une spécialisation qui devrait inciter, selon lui, ses victimes à redoubler de prudence, car rien ne prouve avec certitude que les données qui finissent publiées soient les seules que les pirates aient réussi à obtenir. « Ils peuvent décider de les vendre discrètement au plus offrant ou même d'en utiliser une partie afin de cibler plus facilement d'autres entités, par effet de rebond », constate l'expert.
Autre source de préoccupation : les motifs de Lockbit 2.0 ne sont peut-être pas uniquement financiers. Les chercheurs ont constaté que le groupe n'avait jamais pris pour cibles les pays de la Communauté des États indépendants, qui comprend d’anciennes républiques soviétiques, et plusieurs de ses membres ont déjà écrit en russe sur des forums spécialisés.
« Il ne faut pas oublier que ces groupes sont des mercenaires, rappelle le co-fondateur d'Anozr Way. Dans un contexte où la France a pris la présidence du Conseil de l'Union européenne, alors que l'élection présidentielle se rapproche et que le contexte géopolitique avec l'Ukraine est très tendu, le pays fait figure de cible privilégiée pour les ingérences étrangères ». Pour éviter de perdre cette « guerre hybride », il convient de sensibiliser au plus vite les citoyens aux enjeux de cybersécurité, qu'ils travaillent au ministère de la Justice, ou dans un cabinet d'avocats caennais.
