L’Australie et la France, secouées par deux cyberattaques massives de hackers russes sur des entreprises sensibles, accompagnées de fuites de données sur le dark web, ont posé des questions sur le niveau de défense des pays face à cette forme d’agression russe.
Pas plus tard qu’hier, la Commission a présenté ses propositions pour renforcer la cyberdéfense, soulignant que « les récentes cyberattaques contre les réseaux énergétiques, les infrastructures de transport et les infrastructures spatiales montrent les risques qu’elles font peser tant sur les acteurs politiques que militaires ».
Les nouvelles affaires concernent la grande entreprise française de défense Thales.
Ses données après une cyberattaque ont été divulguées sur le dark web par le groupe de hackers LockBit 3.0, a rapporté vendredi le site d’information franceinfo.
La société a déclaré cette semaine que le groupe de chantage et de ransomware en langue russe a affirmé avoir volé certaines de ses données et prévoit de les déclassifier le 7 novembre.
Thales, qui a annoncé mardi avoir ouvert une enquête interne et informé l’ANSSI, n’a pas répondu dans l’immédiat à une demande de commentaire de Reuters.
L’entreprise française fournit aux entreprises, aux organisations et aux gouvernements des technologies de pointe dans les domaines de la défense, de l’aéronautique, de l’espace, des transports et de la sécurité numérique.
Divulgation de renseignements personnels sensibles
En Australie, la police fédérale australienne allègue que des criminels russes sont à l’origine de la cyberattaque contre Medibank, la plus grande compagnie d’assurance maladie privée d’Australie, et de la fuite d’informations personnelles très sensibles, même du Premier ministre, sur le dark web.
Le commissaire de police Rhys Kershaw a déclaré que les informations pointaient vers un groupe de cybercriminels opérant « comme une entreprise », ajoutant que l’Australie chercherait à contacter les autorités russes à ce sujet.
Il a également souligné que ce groupe a été lié à des attaques dans d’autres pays du monde dans le passé.
Hier, les pirates ont exigé 10 millions de dollars australiens pour arrêter de divulguer des fichiers personnels tout en en publiant davantage sur le dark web.
Medibank, le plus grand assureur maladie privé d’Australie, a confirmé cette semaine que des pirates avaient accédé aux informations de 9,7 millions de clients actuels et anciens, dont le Premier ministre Anthony Albanese.
Jeudi, les pirates ont téléchargé un deuxième lot de fichiers sur le dark web contenant des détails plus sensibles sur des centaines de clients de Medibank.
Les premières fuites semblent avoir été choisies pour causer un maximum de dégâts : elles ciblent les personnes traitées pour toxicomanie, infections sexuellement transmissibles ou avortements.
« Un autre fichier avortements.csv a été ajouté », ont écrit les pirates anonymes sur les forums, avant de détailler leur menace de rançon.
« La société nous demande la rançon, c’est 10 millions de dollars. Nous pouvons accorder une remise… 1 $ = 1 client.
Medibank a refusé à plusieurs reprises de payer la rançon.
« L’Australie n’est pas la pire »
La violation de Medibank – et une violation de données antérieure qui a touché neuf millions de clients de la société de télécommunications Optus – a soulevé des questions sur la capacité de l’Australie à protéger ses systèmes contre les cybercriminels.
Dennis Desmond, ancien agent du FBI et officier du renseignement de la défense américaine, a déclaré que l’Australie n’était pas pire « que n’importe quelle autre cible de grande valeur ou pays occidental ».
« C’est très malheureux, mais je ne pense pas que l’Australie soit plus vulnérable que n’importe quel autre pays occidental développé », a-t-il déclaré à l’AFP.
Desmond a déclaré que les pirates à but lucratif sont peu susceptibles de se concentrer sur un pays spécifique – et sont généralement plus intéressés à cibler les entreprises qui détiennent des données précieuses.
« Ce sont les types de données qui intéressent le plus ces pirates », a-t-il déclaré. « Les données de santé sont une cible énorme et les données personnelles ont une grande valeur. En général, le profit et la cupidité sont les principaux moteurs. »
Les listes « non-sens »
Le piratage de Medibank contiendra probablement des données sur certaines des personnes les plus influentes et les plus riches du pays.
Le patron de Medibank, David Kochkar, a condamné la tactique d’extorsion « honteuse ».
« Utiliser les informations personnelles des gens pour extorquer des paiements est malveillant et constitue une attaque contre les membres les plus vulnérables de notre communauté. »
L’équipe derrière l’attaque semble pousser Medibank pour les informations personnelles les plus potentiellement dommageables dans les fichiers.
Les premiers fichiers postés sur les forums du dark web étaient divisés en « mauvaises » et « bonnes » listes, une référence aux listes que la légende dit que le Père Noël est censé faire.
Certains sur la liste « coquine » avaient des codes numériques qui semblaient les lier à la toxicomanie, à l’abus d’alcool et à l’infection par le VIH.
Par exemple, une entrée avait une entrée qui lisait : « p_diag:F122 ».
Le F122 correspond à la « dépendance au cannabis » selon la Classification Internationale des Maladies publiée par l’Organisation Mondiale de la Santé.
Les noms, adresses, numéros de passeport et dates de naissance ont également été inclus dans les données.
La ministre de l’Intérieur, Claire O’Neill, a qualifié les pirates de « criminels ».
« Ninja d’Internet. Érudit télé incurable. Amateur passionné de café. Passionné de réseaux sociaux. Penseur général. »