Le Département de l'Ardèche, victime d'une cyberattaque " de grande ampleur" : des fichiers dévoilés sur le darkweb dans la nuit du mardi 12 au mercredi 13 avril 2022 (illustration prétexte)
Des fichiers volés et une demande de rançon réclamée par un groupe russe de cyber criminels, c'est la mésaventure dont a été victime le département de l'Ardèche le 6 avril. L'ultimatum expirait le 12 avril. Les pirates ont mis leurs menaces à exécution.
L'attaque informatique survenue le 5 avril dernier a été revendiquée par un groupe cybercriminel russe, baptisé Lockbit 2.0. Ce groupe de hackers de "haut-vol", bien connu, s'est introduit dans un serveur du Département de l'Ardèche pour y dérober des fichiers. C'est un agent de la direction des services informatiques qui a découvert le pot aux roses en cherchant à se connecter au réseau. "Les hackers se sont infiltrés sur nos répertoires via des dossiers partagés par différents agents", explique-t-on au Département.
Demande de rançon
La collectivité avait jusqu'au mardi 12 avril 2022 pour verser une rançon dont le montant n'a pas été communiqué. Faute d'avoir obtenu satisfaction, dans la nuit de mardi à mercredi, les pirates ont mis leurs menaces à exécution : ces "experts en chantage" ont diffusé sur le darkweb des milliers de fichiers dérobés sur le serveur de la collectivité. Le groupe menaçait de dévoiler 40 000 fichiers ou documents.
Lanceur d'alerte et fondateur du site de Zataz dédié depuis 25 ans à la cyber sécurité pour le grand public, Damien Bancal évoque certains fichiers dérobés sur le serveur du Département de l'Ardèche, avec identités. Aucun chiffre n'est avancé mais le Département parle toutefois de très nombreux documents, "des données dont la sensibilité est variable".
La riposte de la collectivité locale
Pour faire face à cette attaque informatique, le Département de l'Ardèche a mis en place rapidement deux salles de travail en "zone blanche" pour assurer ses missions prioritaires. Ce sont des espaces entièrement sécurités dotés à ce jour de 40 ordinateurs pour permettre aux agents de travailler et de "reprendre progressivement un fonctionnement de manière totalement sécurisée". Ces salles de travail sont opérationnelles.
"On est coupé de nos systèmes informatiques depuis mercredi dernier", explique-t-on à la direction de la communication. Les informaticiens du département ont travaillé avec des experts en cyber sécurité, "ils ont travaillé 7 jours sur 7 pour parvenir à maintenir la continuité du service public", assure-t-on.
Malgré les efforts déployés, le retour à la normale devrait prendre du temps, en raison d'un important travail de sécurisation : "tous les serveurs et postes de travail sont scrupuleusement vérifiés et les serveurs remontés dans des zones protégées de toute contamination. La remise en route de tous les systèmes d’information du Département prendra plusieurs semaines", ajoute la collectivité.
d'une des salles de travail en "zone blanche" (espace entièrement sécurisé) mises en place par le Département pour assurer ses missions prioritaires
Malgré cette cyber-attaque, le Département assure que le versement des payes de ses quelques 2000 agents, ainsi que le versement des prestations et le paiement des factures n'est pas menacé.
Dépôts de plaintes et vigilance
La collectivité a également porté plainte auprès de la gendarmerie et auprès de la CNIL dès le 7 avril. L’ANSSI (Agence nationale de sécurité des systèmes d'information) a également aussitôt été informée. "Une réactualisation de la plainte a été faite ce mercredi 13 avril, suite aux nouveaux éléments constatant le vol de fichiers exposés sur le darkweb", explique la collectivité dans un communiqué diffusé ce mercredi soir.
Le Département appelle les usagers, ses agents et ses partenaires à la plus grande vigilance. Une vigilance qui passe notamment par le changement des mots de passe, plus complexes.
Le Département de l'Ardèche, victime d'une cyberattaque " de grande ampleur" : des fichiers dévoilés sur le darkweb dans la nuit du mardi 12 au mercredi 13 avril 2022 (illustration prétexte)
Cyber rançons : la spécialité de Lockbit 2.0
Selon le spécialiste de sécurité informatique Damien Bancal, le groupe de pirates aurait à son actif plus de 750 victimes, comme les communes de Saint-Cloud, de Saint-Affrique ou encore le Barreau de Charleroi et un espace de Thales group. Lockbit 2.0 sévirait depuis de nombreuses années.
Ces pirates informatiques sont spécialisés dans le chantage numérique. Ils commencent par infiltrer des serveurs (services publics, hôpitaux, entreprises) pour voler des données, et ensuite de réclamer des rançons. "Derrière cette bande spécialisée dans le chantage numérique, des dizaines de malveillants qui ne se connaissent pas," explique Damien Bancal sur le site Zataz.