Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Rançongiciel Maze : l'ANSSI assure d’une « collaboration efficace » avec Bouygues Construction

Jamais deux sans trois ?
Internet 8 min
Rançongiciel Maze : l'ANSSI assure d’une « collaboration efficace » avec Bouygues Construction
Crédits : D-Keine/iStock
Mise à jour :

L’ANSSI nous précise qu’elle travaille en bonne harmonie aux côtés des équipes techniques de Bouygues Construction. C’est cette « collaboration efficace » qui a notamment permis de lancer l’alerte sur l’« indicateur de compromission » de Maze. Nous avons mis cette actualité à jour en conséquence.

Depuis la fin de la semaine dernière, Bouygues Construction est la cible d’une cyberattaque. Le groupe distille les informations au compte-gouttes, pendant que Maze la revendique et demande une rançon. De son côté, l’ANSSI travaille aux côtés des équipes du groupe, donne de plus amples détails et publie un « indicateur de compromission » sur Maze.

Le 31 janvier, Bouygues Construction reconnaissait subir « une attaque virale de type ransomware ». Cette annonce officielle arrivait juste après que Le Parisien a dévoilé l’affaire. Le groupe de BTP expliquait que « par mesure de précaution, les systèmes d'information ont été arrêtés afin d'éviter toute propagation », mais que « l’activité opérationnelle des chantiers n’était pas perturbée à ce jour ». Après Ryuk en mai dernier, c’est la seconde fois en moins d’un an que Bouygues Construction est victime d’un rançongiciel.

Maze frappe de nouveau, une rançon de 10 millions de dollars 

Le groupe ne donnait pas de détail supplémentaire et promettait un « nouveau point en début de semaine ». Le week-end passe… puis lundi et mardi sans aucune nouvelle de la société, que ce soit via un communiqué de presse, les réseaux sociaux ou une déclaration officielle. Nous n’avons pas non plus eu de retours à nos demandes si ce n’est une réponse automatique à un email expliquant qu' « en raison d'un incident informatique, la remise de votre message sera retardée et pourra prendre jusqu'à quelques jours ».

Il faudra finalement attendre mercredi pour que la société sorte du bois et publie un nouveau communiqué… presque aussi vide que le premier. Une attitude regrettable et qui manque de transparence, alors que dans le même temps, plusieurs faisceaux convergent vers le « Ransomware-As-A-Service » Maze, dont les créateurs revendiquent d’ailleurs ouvertement l’attaque.

De son côté, l’ANSSI travaille depuis plusieurs jours déjà avec les équipes techniques de Bouygues Construction et confirme l’utilisation de Maze, en ajoutant qu’une demande de rançon de 10 millions de dollars a été demandée. Cette collaboration a notamment permis à l’Agence de lancer une alerte sur le rançongiciel.

Une communication a minima de Bouygues… 

Dans son communiqué du 5 février, Bouygues Construction explique que « des mesures spécifiques ont été prises pour assurer la poursuite de toutes nos activités en France et à l’international ». Lesquelles ? Mystère et boule de gomme. La société se veut malgré tout rassurante : « Aucun chantier n’a été arrêté et l’ensemble des données qui sortent de l’entreprise vers l’extérieur fait l’objet d’une procédure de sécurisation renforcée ». De plus, la « restauration du système d’information » se poursuit et les fonctionnalités sont progressivement remises en service.

L’entreprise précise au passage qu’elle « a déposé plainte et [qu’elle] travaille de concert avec les autorités compétentes pour identifier l’origine de cette action criminelle et protéger les intérêts de ses clients et partenaires »… et c’est tout. Pas un mot sur l’étendue des dégâts, le vecteur d’infection, le temps nécessaire pour un retour à la normale, un éventuel vol de données, la présence de sauvegardes récentes, etc.

On est donc (très) loin d’une communication de crise à la OVH ou Gandi, qui ont tous les deux rencontré des problèmes importants ces derniers temps. Les deux sociétés n’ont pas été victimes d’un rançongiciel, mais d’une panne matérielle qui a respectivement affecté des dizaines de milliers et des centaines de clients. 

Nous pouvons aussi citer le cas de la société norvégienne Norsk Hydro, victime d’un rançongiciel en mars 2019. Sa communication de crise avait été saluée par les experts du secteur. Elle n’avait pour rappel pas payé la rançon et restauré une sauvegarde, mais la baisse de productivité due à l’attaque lui a « coûté environ 40 millions de dollars ». Plus récemment, l’université de Maastricht a aussi été la cible d’une cyberattaque, avec là encore une communication détaillée au jour le jour.

Twitter Bouygues Construction
Le compte Twitter de Bouygues Construction le 6 février à 14h

Cyberattaques  : « Discrétion » était visiblement le mot d’ordre en 2019

Chez Bouygues Construction, la communication en temps de crise c’est autre chose : pas un message sur les réseaux sociaux et seulement deux communiqués aseptisés avec des informations au compte-gouttes. Pire, alors que la société parlait de « ransonware » dans son premier communiqué, le terme a disparu dans le second pour laisser place à une simple « attaque virale ».

Une attitude regrettable, mais malheureusement dans l’air du temps selon le dernier rapport Panocrim 2019 du Club de la sécurité de l'information français (CLUSIF). Il revenait il y a peu sur la communication en cas de crise de manière globale, avec la conclusion suivante : « En France, les organismes souhaitent rester discrets et limiter la communication externe ». Souvent, les entreprises attendent que la cyberattaque soit révélée dans la presse avant de communiquer a minima. 

Il y a principalement trois manières de communiquer selon le CLUSIF : silence, discrétion et transparence. Lors d’une conférence, Mathias Garance (avocat et membre du CLUSIF), donnait un exemple de silence avec le cas Fleury Michon, tandis qu’Altran et le CHU de Rouen étaient cités comme exemple de discrétion. 

Maze revendique l’attaque, l’ANSSI confirme et donne des détails

De leur côté, les pirates derrière le rançongiciel Maze revendiquent l’attaque qui aurait eu lieu le 30 janvier. Le groupe affirme que plus de 200 machines auraient été infectées, et il publie une liste de nom, adresse IP, code pays (Canada, France, etc.), capacité de stockage et espace disque utilisé. Bouygues Construction n’a ni confirmé ni démenti cette affirmation, ni précisé d’ailleurs avoir reçu la moindre demande de rançon.

Maze Bouygues

Maze est présenté par l’ANSSI comme un « Ransomware-As-A-Service », c’est-à-dire comme une solution « clé en main » proposée par des pirates à d’autres pirates via un système d’affiliation : « Il permet aux attaquants de sous-traiter une grande partie des actions pour mener à bien leurs opérations d’extorsion et d’y acheter les ressources nécessaires (données personnelles, accès légitimes compromis, codes malveillants) ».

Suite à la cyberattaque dont est victime Bouygues Construction, l’Agence a publié cette semaine un « indicateur de compromission ». Il concerne le rançongiciel Maze et le groupe d’attaquants TA2101. Il s’agit d’informations – « qualifiées ou non par l'ANSSI » – et partagées publiquement à des fins de prévention. 

« Les marqueurs techniques suivants sont associés en source ouverte au groupe d’attaquants TA2101 utilisant le rançongiciel Maze. Ils sont fournis au format d’export MISP et peuvent être utilisés à des fins de détection et de blocage de cette menace. Cette infrastructure réseau est utilisée depuis novembre 2019 et est active à ce jour. Toute communication depuis ou vers cette infrastructure ne constitue pas une preuve de compromission, mais doit être analysée afin de lever le doute », explique l’ANSSI.

ANSSI et Bouygues travaillent ensemble, avec une « collaboration efficace » 

Si Bouygues Construction n’est pas directement dans le bulletin d’alerte, l’Agence nous confirme que ces marqueurs ont pu être identifiés grâce à une « collaboration efficace » avec les équipes techniques du groupe de BTP. Le but étant d’éviter que d’autres entreprises ne se retrouvent dans la même situation : « mieux vaut prévenir que guérir », comme le dit l’adage. 

Une information d’autant plus importante que le nombre de victimes de Maze sur le seul mois de janvier est important : Stockdale radiology, Lakeland Community College, Medical Diagnostic Laboratories, Hamilton and Naumes et Bird Construction, avec une demande de rançon de 9 millions de dollars dans ce dernier cas. 

L’ANSSI donne également des informations supplémentaires dans son rapport sur les rançongiciels, qu’elle vient de mettre à jour suite à l’attaque dont a été victime le groupe. On y apprend beaucoup plus de choses que dans l’ensemble de la maigre communication officielle et publique de Bouygues :

« En France, la compromission par Maze d’une partie des systèmes d’information de Bouygues Construction a été détecté le 30 janvier 2020, occasionnant le chiffrement de nombreuses données. Les attaquants ont déclaré avoir demandé une rançon équivalente à dix millions de dollars, ce qui n’est pas confirmé par Bouygues. Pour l’heure, un fichier d’archive de 1.2Gb protégé par un mot de passe est présent sur le site des attaquants. Il n’est pas confirmé que cette archive corresponde réellement à des données exfiltrées du système d’information de Bouygues Construction. »

Déjà deux cyberattaques en un an pour Bouygues Construction

Ce n’est pas la première fois que Bouygues Construction est la cible d’une cyberattaque par un rançongiciel, comme le rappelle l’ANSSI : « En mai 2019, le réseau d’une filiale canadienne de Bouygues Construction a été compromis par Ryuk, chiffrant ses serveurs Windows ». L’Agence précise ne pas avoir eu connaissance du montant de la rançon, ni si celle-ci a été payée.

Deux fois en l’espace d’un an, cela commence à faire beaucoup pour une même société. Il faut maintenant attendre de voir si Bouygues Construction va enfin communiquer ouvertement sur ses soucis, ou si le groupe va continuer de jouer la carte de la « discrétion » qu’elle manie parfaitement pour le moment. Dans tous les cas, le travail continue pour le moment avec l’ANSSI pour remettre les systèmes en état.

34 commentaires
Avatar de skankhunt42 Abonné
Avatar de skankhunt42 skankhunt42 - 06/02/20 à 15:00:38

Machin qui à ramené une vidéo de chat sur une clef usb pour la montrer à son collègue ...

Avatar de johanns Abonné
Avatar de johannsjohanns- 06/02/20 à 15:25:14

malheureusement c'est encore plus simple, une petite com' par mail avec un super lien, pas de faute d'orthographe pour ne pas éveiller les soupçons et l'affaire est dans le sac à tous les coups.

Avatar de WereWindle INpactien
Avatar de WereWindleWereWindle- 06/02/20 à 15:29:56

je plussoie... même en faisant des piqûres de rappel au collègues très régulièrement sur les bonnes pratiques et les dangers du net (au sens large), y en a toujours pour cliquer sur le lien :pleure:

Avatar de Zerdligham INpactien
Avatar de ZerdlighamZerdligham- 06/02/20 à 15:35:48

Je trouve étonnante cette exigence de transparence.
Bouygues n'est pas une administration et ne doit rien au peuple. J'ai déjà été témoins d'incidents de sécurité, on a réglé notre problème en interne comme des grands. Nos clients ne s'en sont probablement même pas aperçu, et ça ne serait je pense venu à l'idée de personne de twitter qui a ouvert la PJ fatidique, ou combien de machines on été touchées.

La situation n'a rien à voir avec celle d'OVH ou de Gandi qui étaient confrontés à des incidents qui empêchait la réalisation de leur cœur de métier, paralysant directement leurs clients.

Édité par Zerdligham le 06/02/2020 à 15:36
Avatar de darkbeast Abonné
Avatar de darkbeastdarkbeast- 06/02/20 à 15:56:26

Zerdligham a écrit :

Je trouve étonnante cette exigence de transparence.
Bouygues n'est pas une administration et ne doit rien au peuple. J'ai déjà été témoins d'incidents de sécurité, on a réglé notre problème en interne comme des grands. Nos clients ne s'en sont probablement même pas aperçu, et ça ne serait je pense venu à l'idée de personne de twitter qui a ouvert la PJ fatidique, ou combien de machines on été touchées.

La situation n'a rien à voir avec celle d'OVH ou de Gandi qui étaient confrontés à des incidents qui empêchait la réalisation de leur cœur de métier, paralysant directement leurs clients.

On parle pas de l'entrepreneur du coin mais d'une des premières boites de btp de france, qui doit des comptes à ses clients en cas d'intrusion de sécu.

Avatar de Jossy Abonné
Avatar de JossyJossy- 06/02/20 à 16:19:29

"Ne doit rien au peuple". Si en l’occurrence :

  • Bouygues Construction c'est plus de 50 000 employés (110 000 si on compte Colas, je ne sais pas si ils sont aussi touchés). Alors quand les serveurs de données sont débranchés depuis presque une semaine et qu'il ne reste que les documents que les gens ont négligemment laissés sur les disques durs, ça fait rapidement craindre du chômage technique. J'ai eu une réunion lundi avec des personnes de chez Bouygues justement, sur un projet sur lequel je travaille, c'était une réelle crainte pour eux sur chantier. Bouygues a beau communiquer comme quoi aucun chantier n'est à l'arrêt, il ne faudrait pas que ça dure beaucoup plus longtemps avant que ça le soit. Sans compter les services support totalement à l'arrêt.
  • Actuellement le paiement des sous-traitants, fournisseurs et prestataires est également impossible : ça fait également du monde concerné !
  • Enfin Bouygues intervient sur de nombreux chantiers sensibles ou confidentiels (les plus connus en France étant peut-être l'EPR ou le ministère de la Défense, mais beaucoup d'autres chantiers pour l'armée, pour des industriels...). Bouygues Construction intervient également sur des réseaux de données, d'énergie via sa branche Bouygues Energie et Service. Une fuite massive de ces données sur internet peut remettre en cause la sécurité de pas mal d'équipements et de sites.

Y a-t-il besoin de continuer la liste ? Là on ne se situe absolument pas dans le "on règle notre problème en interne comme des grands et nos clients ne s'en apercevront pas". En l'occurrence tout comme Gandi ou OVH, cette attaque paralyse une partie des activités d'un grand nombre de personnes.

Édité par Jossy le 06/02/2020 à 16:20
Avatar de Citan666 Abonné
Avatar de Citan666Citan666- 06/02/20 à 16:21:48

Pour le dire autrement :
on peut débattre du fait que Bouygues ait une obligation de transparence "d'intérêt général".
Il est en revanche indéniable que Bouygues doit au moins la plus grande rigueur vis-à-vis de toutes les personnes directement ou indirectement impactées par l'attaque.

Comme l'illustre si bien Jossy, c'est pas du tout anodin.

Avatar de Zerdligham INpactien
Avatar de ZerdlighamZerdligham- 06/02/20 à 16:42:04

Le fait qu'ils aient du chômage technique je dirais que c'est leur problème.

Le fait qu'ils aient une lourde responsabilité vis-à-vis de leurs clients c'est une évidence, mais ça n'a rien à voir avec la communication publique (en l’occurrence dans mon entreprise quand on a un problème on s'adresse au(x) client(s) touché(s), on ne twitte pas les détails)

Le fait qu'ils créent un problème de sécurité publique est probablement au contraire une bonne raison de ne pas publier les détails tant que les trous ne sont pas bouchés
J'ajouterais que si c'est le cas c'est qu'ils ont des problèmes de gestion bien plus profonds qu'un cryptovirus, et que si la fuite de documents met en défaut la sécurité des infras, c'est qu'il y a un problème de conception.

Leur communication est clairement maladroite (pour moi ils devrait a minima prendre acte de ce qui se dit et indiquer qu'ils travaillent dessus s'ils ne peuvent pas encore en dire plus), mais je trouve étrange qu'ils semble acquis que Bouygues doive au public le full disclosure dès maintenant.

Avatar de Zerdligham INpactien
Avatar de ZerdlighamZerdligham- 06/02/20 à 17:00:50

Mon commentaire portait exclusivement sur la transparence "d'intérêt général". La transparence vis-à-vis des personnes touchées était pour moi une telle évidence que je n'ai pas pensé à le préciser, merci de ton complément.

Et je comprends d'ailleurs tout a fait qu'on puisse être en faveur de la transparence d'intérêt général.
Je suis moi-même partagé: je la juge excessive dans l'absolu (une boite de la taille de Bouygues ça doit être 3 incidents de sécurité par jour, on peut pas exiger qu'ils communiquent sur chacun d'entre eux), mais bienvenue pour un incident grave comme celui-ci.

Ce qui m'a poussé à commenter ça c'est le ton de l'article qui semble trouver scandaleux que ça ne coule pas de source. Dans le fond si j'ai lu l'article, c'est parce que je suis moi aussi demandeur de détails et donc favorable à ce qu'ils communiquent. Je ne le vois par contre pas comme un dû.
Ça et la comparaison avec OVH et Gandi que je trouve totalement inappropriée

Avatar de AltreX Abonné
Avatar de AltreXAltreX- 06/02/20 à 17:33:09

Je confirme, le fait de rien dire est plutôt la norme que l'inverse, en l'occurence je suis intervenu chez un client en décembre 2019 pour une attaque similaire (Ryuk) et le mot d'ordre de la com c'était : on ne dit rien à personne en dehors des intervenants et de l'ANSSI.
La raison évoqué était la peur d'une perte de confiance de la part des client.

Je ne suis pas partisant de la pratique mais ça se comprend.

Il n'est plus possible de commenter cette actualité.
Page 1 / 4