L’ANSSI nous précise qu’elle travaille en bonne harmonie aux côtés des équipes techniques de Bouygues Construction. C’est cette « collaboration efficace » qui a notamment permis de lancer l’alerte sur l’« indicateur de compromission » de Maze. Nous avons mis cette actualité à jour en conséquence.
Depuis la fin de la semaine dernière, Bouygues Construction est la cible d’une cyberattaque. Le groupe distille les informations au compte-gouttes, pendant que Maze la revendique et demande une rançon. De son côté, l’ANSSI travaille aux côtés des équipes du groupe, donne de plus amples détails et publie un « indicateur de compromission » sur Maze.
Le 31 janvier, Bouygues Construction reconnaissait subir « une attaque virale de type ransomware ». Cette annonce officielle arrivait juste après que Le Parisien a dévoilé l’affaire. Le groupe de BTP expliquait que « par mesure de précaution, les systèmes d'information ont été arrêtés afin d'éviter toute propagation », mais que « l’activité opérationnelle des chantiers n’était pas perturbée à ce jour ». Après Ryuk en mai dernier, c’est la seconde fois en moins d’un an que Bouygues Construction est victime d’un rançongiciel.
Maze frappe de nouveau, une rançon de 10 millions de dollars
Le groupe ne donnait pas de détail supplémentaire et promettait un « nouveau point en début de semaine ». Le week-end passe… puis lundi et mardi sans aucune nouvelle de la société, que ce soit via un communiqué de presse, les réseaux sociaux ou une déclaration officielle. Nous n’avons pas non plus eu de retours à nos demandes si ce n’est une réponse automatique à un email expliquant qu' « en raison d'un incident informatique, la remise de votre message sera retardée et pourra prendre jusqu'à quelques jours ».
Il faudra finalement attendre mercredi pour que la société sorte du bois et publie un nouveau communiqué… presque aussi vide que le premier. Une attitude regrettable et qui manque de transparence, alors que dans le même temps, plusieurs faisceaux convergent vers le « Ransomware-As-A-Service » Maze, dont les créateurs revendiquent d’ailleurs ouvertement l’attaque.
De son côté, l’ANSSI travaille depuis plusieurs jours déjà avec les équipes techniques de Bouygues Construction et confirme l’utilisation de Maze, en ajoutant qu’une demande de rançon de 10 millions de dollars a été demandée. Cette collaboration a notamment permis à l’Agence de lancer une alerte sur le rançongiciel.
Une communication a minima de Bouygues…
Dans son communiqué du 5 février, Bouygues Construction explique que « des mesures spécifiques ont été prises pour assurer la poursuite de toutes nos activités en France et à l’international ». Lesquelles ? Mystère et boule de gomme. La société se veut malgré tout rassurante : « Aucun chantier n’a été arrêté et l’ensemble des données qui sortent de l’entreprise vers l’extérieur fait l’objet d’une procédure de sécurisation renforcée ». De plus, la « restauration du système d’information » se poursuit et les fonctionnalités sont progressivement remises en service.
L’entreprise précise au passage qu’elle « a déposé plainte et [qu’elle] travaille de concert avec les autorités compétentes pour identifier l’origine de cette action criminelle et protéger les intérêts de ses clients et partenaires »… et c’est tout. Pas un mot sur l’étendue des dégâts, le vecteur d’infection, le temps nécessaire pour un retour à la normale, un éventuel vol de données, la présence de sauvegardes récentes, etc.
On est donc (très) loin d’une communication de crise à la OVH ou Gandi, qui ont tous les deux rencontré des problèmes importants ces derniers temps. Les deux sociétés n’ont pas été victimes d’un rançongiciel, mais d’une panne matérielle qui a respectivement affecté des dizaines de milliers et des centaines de clients.
- Gandi revient sur sa longue panne de début janvier, qui rappelle l’importance des sauvegardes
- Mutualisé : OVH s'explique sur la panne de 50 000 sites et annonce un geste commercial
- Derrière les plantages d'OVH, la question de la transparence dans la communication
Nous pouvons aussi citer le cas de la société norvégienne Norsk Hydro, victime d’un rançongiciel en mars 2019. Sa communication de crise avait été saluée par les experts du secteur. Elle n’avait pour rappel pas payé la rançon et restauré une sauvegarde, mais la baisse de productivité due à l’attaque lui a « coûté environ 40 millions de dollars ». Plus récemment, l’université de Maastricht a aussi été la cible d’une cyberattaque, avec là encore une communication détaillée au jour le jour.
Le compte Twitter de Bouygues Construction le 6 février à 14h
Cyberattaques : « Discrétion » était visiblement le mot d’ordre en 2019
Chez Bouygues Construction, la communication en temps de crise c’est autre chose : pas un message sur les réseaux sociaux et seulement deux communiqués aseptisés avec des informations au compte-gouttes. Pire, alors que la société parlait de « ransonware » dans son premier communiqué, le terme a disparu dans le second pour laisser place à une simple « attaque virale ».
Une attitude regrettable, mais malheureusement dans l’air du temps selon le dernier rapport Panocrim 2019 du Club de la sécurité de l'information français (CLUSIF). Il revenait il y a peu sur la communication en cas de crise de manière globale, avec la conclusion suivante : « En France, les organismes souhaitent rester discrets et limiter la communication externe ». Souvent, les entreprises attendent que la cyberattaque soit révélée dans la presse avant de communiquer a minima.
Il y a principalement trois manières de communiquer selon le CLUSIF : silence, discrétion et transparence. Lors d’une conférence, Mathias Garance (avocat et membre du CLUSIF), donnait un exemple de silence avec le cas Fleury Michon, tandis qu’Altran et le CHU de Rouen étaient cités comme exemple de discrétion.
Maze revendique l’attaque, l’ANSSI confirme et donne des détails
De leur côté, les pirates derrière le rançongiciel Maze revendiquent l’attaque qui aurait eu lieu le 30 janvier. Le groupe affirme que plus de 200 machines auraient été infectées, et il publie une liste de nom, adresse IP, code pays (Canada, France, etc.), capacité de stockage et espace disque utilisé. Bouygues Construction n’a ni confirmé ni démenti cette affirmation, ni précisé d’ailleurs avoir reçu la moindre demande de rançon.
Maze est présenté par l’ANSSI comme un « Ransomware-As-A-Service », c’est-à-dire comme une solution « clé en main » proposée par des pirates à d’autres pirates via un système d’affiliation : « Il permet aux attaquants de sous-traiter une grande partie des actions pour mener à bien leurs opérations d’extorsion et d’y acheter les ressources nécessaires (données personnelles, accès légitimes compromis, codes malveillants) ».
Suite à la cyberattaque dont est victime Bouygues Construction, l’Agence a publié cette semaine un « indicateur de compromission ». Il concerne le rançongiciel Maze et le groupe d’attaquants TA2101. Il s’agit d’informations – « qualifiées ou non par l'ANSSI » – et partagées publiquement à des fins de prévention.
« Les marqueurs techniques suivants sont associés en source ouverte au groupe d’attaquants TA2101 utilisant le rançongiciel Maze. Ils sont fournis au format d’export MISP et peuvent être utilisés à des fins de détection et de blocage de cette menace. Cette infrastructure réseau est utilisée depuis novembre 2019 et est active à ce jour. Toute communication depuis ou vers cette infrastructure ne constitue pas une preuve de compromission, mais doit être analysée afin de lever le doute », explique l’ANSSI.
ANSSI et Bouygues travaillent ensemble, avec une « collaboration efficace »
Si Bouygues Construction n’est pas directement dans le bulletin d’alerte, l’Agence nous confirme que ces marqueurs ont pu être identifiés grâce à une « collaboration efficace » avec les équipes techniques du groupe de BTP. Le but étant d’éviter que d’autres entreprises ne se retrouvent dans la même situation : « mieux vaut prévenir que guérir », comme le dit l’adage.
Une information d’autant plus importante que le nombre de victimes de Maze sur le seul mois de janvier est important : Stockdale radiology, Lakeland Community College, Medical Diagnostic Laboratories, Hamilton and Naumes et Bird Construction, avec une demande de rançon de 9 millions de dollars dans ce dernier cas.
L’ANSSI donne également des informations supplémentaires dans son rapport sur les rançongiciels, qu’elle vient de mettre à jour suite à l’attaque dont a été victime le groupe. On y apprend beaucoup plus de choses que dans l’ensemble de la maigre communication officielle et publique de Bouygues :
« En France, la compromission par Maze d’une partie des systèmes d’information de Bouygues Construction a été détecté le 30 janvier 2020, occasionnant le chiffrement de nombreuses données. Les attaquants ont déclaré avoir demandé une rançon équivalente à dix millions de dollars, ce qui n’est pas confirmé par Bouygues. Pour l’heure, un fichier d’archive de 1.2Gb protégé par un mot de passe est présent sur le site des attaquants. Il n’est pas confirmé que cette archive corresponde réellement à des données exfiltrées du système d’information de Bouygues Construction. »
Déjà deux cyberattaques en un an pour Bouygues Construction
Ce n’est pas la première fois que Bouygues Construction est la cible d’une cyberattaque par un rançongiciel, comme le rappelle l’ANSSI : « En mai 2019, le réseau d’une filiale canadienne de Bouygues Construction a été compromis par Ryuk, chiffrant ses serveurs Windows ». L’Agence précise ne pas avoir eu connaissance du montant de la rançon, ni si celle-ci a été payée.
Deux fois en l’espace d’un an, cela commence à faire beaucoup pour une même société. Il faut maintenant attendre de voir si Bouygues Construction va enfin communiquer ouvertement sur ses soucis, ou si le groupe va continuer de jouer la carte de la « discrétion » qu’elle manie parfaitement pour le moment. Dans tous les cas, le travail continue pour le moment avec l’ANSSI pour remettre les systèmes en état.
