Depuis la fin de la semaine dernière, Bouygues Construction est la cible d’une cyberattaque. Le groupe distille les informations au compte-gouttes, pendant que Maze la revendique et demande une rançon. De son côté, l’ANSSI travaille aux côtés des équipes du groupe, donne de plus amples détails et publie un « indicateur de compromission » sur Maze.
Le 31 janvier, Bouygues Construction reconnaissait subir « une attaque virale de type ransomware ». Cette annonce officielle arrivait juste après que Le Parisien a dévoilé l’affaire. Le groupe de BTP expliquait que « par mesure de précaution, les systèmes d'information ont été arrêtés afin d'éviter toute propagation », mais que « l’activité opérationnelle des chantiers n’était pas perturbée à ce jour ». Après Ryuk en mai dernier, c’est la seconde fois en moins d’un an que Bouygues Construction est victime d’un rançongiciel.
Maze frappe de nouveau, une rançon de 10 millions de dollars
Le groupe ne donnait pas de détail supplémentaire et promettait un « nouveau point en début de semaine ». Le week-end passe… puis lundi et mardi sans aucune nouvelle de la société, que ce soit via un communiqué de presse, les réseaux sociaux ou une déclaration officielle. Nous n’avons pas non plus eu de retours à nos demandes si ce n’est une réponse automatique à un email expliquant qu' « en raison d'un incident informatique, la remise de votre message sera retardée et pourra prendre jusqu'à quelques jours ».
Il faudra finalement attendre mercredi pour que la société sorte du bois et publie un nouveau communiqué… presque aussi vide que le premier. Une attitude regrettable et qui manque de transparence, alors que dans le même temps, plusieurs faisceaux convergent vers le « Ransomware-As-A-Service » Maze, dont les créateurs revendiquent d’ailleurs ouvertement l’attaque.
De son côté, l’ANSSI travaille depuis plusieurs jours déjà avec les équipes techniques de Bouygues Construction et confirme l’utilisation de Maze, en ajoutant qu’une demande de rançon de 10 millions de dollars a été demandée. Cette collaboration a notamment permis à l’Agence de lancer une alerte sur le rançongiciel.
Une communication a minima de Bouygues…
Dans son communiqué du 5 février, Bouygues Construction explique que « des mesures spécifiques ont été prises pour assurer la poursuite de toutes nos activités en France et à l’international ». Lesquelles ? Mystère et boule de gomme. La société se veut malgré tout rassurante : « Aucun chantier n’a été arrêté et l’ensemble des données qui sortent de l’entreprise vers l’extérieur fait l’objet d’une procédure de sécurisation renforcée ». De plus, la « restauration du système d’information » se poursuit et les fonctionnalités sont progressivement remises en service.
L’entreprise précise au passage qu’elle « a déposé plainte et [qu’elle] travaille de concert avec les autorités compétentes pour identifier l’origine de cette action criminelle et protéger les intérêts de ses clients et partenaires »… et c’est tout. Pas un mot sur l’étendue des dégâts, le vecteur d’infection, le temps nécessaire pour un retour à la normale, un éventuel vol de données, la présence de sauvegardes récentes, etc.
On est donc (très) loin d’une communication de crise à la OVH ou Gandi, qui ont tous les deux rencontré des problèmes importants ces derniers temps. Les deux sociétés n’ont pas été victimes d’un rançongiciel, mais d’une panne matérielle qui a respectivement affecté des dizaines de milliers et des centaines de clients.
- Gandi revient sur sa longue panne de début janvier, qui rappelle l’importance des sauvegardes
- Mutualisé : OVH s'explique sur la panne de 50 000 sites et annonce un geste commercial
- Derrière les plantages d'OVH, la question de la transparence dans la communication
Nous pouvons aussi citer le cas de la société norvégienne Norsk Hydro, victime d’un rançongiciel en mars 2019. Sa communication de crise avait été saluée par les experts du secteur. Elle n’avait pour rappel pas payé la rançon et restauré une sauvegarde, mais la baisse de productivité due à l’attaque lui a « coûté environ 40 millions de dollars ». Plus récemment, l’université de Maastricht a aussi été la cible d’une cyberattaque, avec là encore une communication détaillée au jour le jour.
Le compte Twitter de Bouygues Construction le 6 février à 14h
Cyberattaques : « Discrétion » était visiblement le mot d’ordre en 2019
Chez Bouygues Construction, la communication en temps de crise c’est autre chose : pas un message sur les réseaux sociaux et seulement deux communiqués aseptisés avec des informations au compte-gouttes. Pire, alors que la société parlait de « ransonware » dans son premier communiqué, le terme a disparu dans le second pour laisser place à une simple « attaque virale ».
Une attitude regrettable, mais malheureusement dans l’air du temps selon le dernier rapport Panocrim 2019 du Club de la sécurité de l'information français (CLUSIF). Il revenait il y a peu sur la communication en cas de crise de manière globale, avec la conclusion suivante : « En France, les organismes souhaitent rester discrets et limiter la communication externe ». Souvent, les entreprises attendent que la cyberattaque soit révélée dans la presse avant de communiquer a minima.
Il y a principalement trois manières de communiquer selon le CLUSIF : silence, discrétion et transparence. Lors d’une conférence, Mathias Garance (avocat et membre du CLUSIF), donnait un exemple de silence avec le cas Fleury Michon, tandis qu’Altran et le CHU de Rouen étaient cités comme exemple de discrétion.
Maze revendique l’attaque, l’ANSSI confirme et donne des détails
De leur côté, les pirates derrière le rançongiciel Maze revendiquent l’attaque qui aurait eu lieu le 30 janvier. Le groupe affirme que plus de 200 machines auraient été infectées, et il publie une liste de nom, adresse IP, code pays (Canada, France, etc.), capacité de stockage et espace disque utilisé. Bouygues Construction n’a ni confirmé ni démenti cette affirmation, ni précisé d’ailleurs avoir reçu la moindre demande de rançon.
Maze est présenté par l’ANSSI comme un « Ransomware-As-A-Service », c’est-à-dire comme une solution « clé en main » proposée par des pirates à d’autres pirates via un système d’affiliation : « Il permet aux attaquants de sous-traiter une grande partie des actions pour mener à bien leurs opérations d’extorsion et d’y acheter les ressources nécessaires (données personnelles, accès légitimes compromis, codes malveillants) ».
Suite à la cyberattaque dont est victime Bouygues Construction, l’Agence a publié cette semaine un « indicateur de compromission ». Il concerne le rançongiciel Maze et le groupe d’attaquants TA2101. Il s’agit d’informations – « qualifiées ou non par l'ANSSI » – et partagées publiquement à des fins de prévention.
« Les marqueurs techniques suivants sont associés en source ouverte au groupe d’attaquants TA2101 utilisant le rançongiciel Maze. Ils sont fournis au format d’export MISP et peuvent être utilisés à des fins de détection et de blocage de cette menace. Cette infrastructure réseau est utilisée depuis novembre 2019 et est active à ce jour. Toute communication depuis ou vers cette infrastructure ne constitue pas une preuve de compromission, mais doit être analysée afin de lever le doute », explique l’ANSSI.
ANSSI et Bouygues travaillent ensemble, avec une « collaboration efficace »
Si Bouygues Construction n’est pas directement dans le bulletin d’alerte, l’Agence nous confirme que ces marqueurs ont pu être identifiés grâce à une « collaboration efficace » avec les équipes techniques du groupe de BTP. Le but étant d’éviter que d’autres entreprises ne se retrouvent dans la même situation : « mieux vaut prévenir que guérir », comme le dit l’adage.
Une information d’autant plus importante que le nombre de victimes de Maze sur le seul mois de janvier est important : Stockdale radiology, Lakeland Community College, Medical Diagnostic Laboratories, Hamilton and Naumes et Bird Construction, avec une demande de rançon de 9 millions de dollars dans ce dernier cas.
L’ANSSI donne également des informations supplémentaires dans son rapport sur les rançongiciels, qu’elle vient de mettre à jour suite à l’attaque dont a été victime le groupe. On y apprend beaucoup plus de choses que dans l’ensemble de la maigre communication officielle et publique de Bouygues :
« En France, la compromission par Maze d’une partie des systèmes d’information de Bouygues Construction a été détecté le 30 janvier 2020, occasionnant le chiffrement de nombreuses données. Les attaquants ont déclaré avoir demandé une rançon équivalente à dix millions de dollars, ce qui n’est pas confirmé par Bouygues. Pour l’heure, un fichier d’archive de 1.2Gb protégé par un mot de passe est présent sur le site des attaquants. Il n’est pas confirmé que cette archive corresponde réellement à des données exfiltrées du système d’information de Bouygues Construction. »
Déjà deux cyberattaques en un an pour Bouygues Construction
Ce n’est pas la première fois que Bouygues Construction est la cible d’une cyberattaque par un rançongiciel, comme le rappelle l’ANSSI : « En mai 2019, le réseau d’une filiale canadienne de Bouygues Construction a été compromis par Ryuk, chiffrant ses serveurs Windows ». L’Agence précise ne pas avoir eu connaissance du montant de la rançon, ni si celle-ci a été payée.
Deux fois en l’espace d’un an, cela commence à faire beaucoup pour une même société. Il faut maintenant attendre de voir si Bouygues Construction va enfin communiquer ouvertement sur ses soucis, ou si le groupe va continuer de jouer la carte de la « discrétion » qu’elle manie parfaitement pour le moment. Dans tous les cas, le travail continue pour le moment avec l’ANSSI pour remettre les systèmes en état.
Commentaires (34)
#1
Machin qui à ramené une vidéo de chat sur une clef usb pour la montrer à son collègue …
#2
malheureusement c’est encore plus simple, une petite com’ par mail avec un super lien, pas de faute d’orthographe pour ne pas éveiller les soupçons et l’affaire est dans le sac à tous les coups.
#3
je plussoie… même en faisant des piqûres de rappel au collègues très régulièrement sur les bonnes pratiques et les dangers du net (au sens large), y en a toujours pour cliquer sur le lien
" />
#4
Je trouve étonnante cette exigence de transparence.
Bouygues n’est pas une administration et ne doit rien au peuple. J’ai déjà été témoins d’incidents de sécurité, on a réglé notre problème en interne comme des grands. Nos clients ne s’en sont probablement même pas aperçu, et ça ne serait je pense venu à l’idée de personne de twitter qui a ouvert la PJ fatidique, ou combien de machines on été touchées.
La situation n’a rien à voir avec celle d’OVH ou de Gandi qui étaient confrontés à des incidents qui empêchait la réalisation de leur cœur de métier, paralysant directement leurs clients.
#5
#6
“Ne doit rien au peuple”. Si en l’occurrence :
Y a-t-il besoin de continuer la liste ? Là on ne se situe absolument pas dans le “on règle notre problème en interne comme des grands et nos clients ne s’en apercevront pas”. En l’occurrence tout comme Gandi ou OVH, cette attaque paralyse une partie des activités d’un grand nombre de personnes.
#7
Pour le dire autrement :
on peut débattre du fait que Bouygues ait une obligation de transparence “d’intérêt général”.
Il est en revanche indéniable que Bouygues doit au moins la plus grande rigueur vis-à-vis de toutes les personnes directement ou indirectement impactées par l’attaque.
Comme l’illustre si bien Jossy, c’est pas du tout anodin.
#8
Le fait qu’ils aient du chômage technique je dirais que c’est leur problème.
Le fait qu’ils aient une lourde responsabilité vis-à-vis de leurs clients c’est une évidence, mais ça n’a rien à voir avec la communication publique (en l’occurrence dans mon entreprise quand on a un problème on s’adresse au(x) client(s) touché(s), on ne twitte pas les détails)
Le fait qu’ils créent un problème de sécurité publique est probablement au contraire une bonne raison de ne pas publier les détails tant que les trous ne sont pas bouchés
J’ajouterais que si c’est le cas c’est qu’ils ont des problèmes de gestion bien plus profonds qu’un cryptovirus, et que si la fuite de documents met en défaut la sécurité des infras, c’est qu’il y a un problème de conception.
Leur communication est clairement maladroite (pour moi ils devrait a minima prendre acte de ce qui se dit et indiquer qu’ils travaillent dessus s’ils ne peuvent pas encore en dire plus), mais je trouve étrange qu’ils semble acquis que Bouygues doive au public le full disclosure dès maintenant.
#9
Mon commentaire portait exclusivement sur la transparence “d’intérêt général”. La transparence vis-à-vis des personnes touchées était pour moi une telle évidence que je n’ai pas pensé à le préciser, merci de ton complément.
Et je comprends d’ailleurs tout a fait qu’on puisse être en faveur de la transparence d’intérêt général.
Je suis moi-même partagé: je la juge excessive dans l’absolu (une boite de la taille de Bouygues ça doit être 3 incidents de sécurité par jour, on peut pas exiger qu’ils communiquent sur chacun d’entre eux), mais bienvenue pour un incident grave comme celui-ci.
Ce qui m’a poussé à commenter ça c’est le ton de l’article qui semble trouver scandaleux que ça ne coule pas de source. Dans le fond si j’ai lu l’article, c’est parce que je suis moi aussi demandeur de détails et donc favorable à ce qu’ils communiquent. Je ne le vois par contre pas comme un dû.
Ça et la comparaison avec OVH et Gandi que je trouve totalement inappropriée
#10
Je confirme, le fait de rien dire est plutôt la norme que l’inverse, en l’occurence je suis intervenu chez un client en décembre 2019 pour une attaque similaire (Ryuk) et le mot d’ordre de la com c’était : on ne dit rien à personne en dehors des intervenants et de l’ANSSI.
La raison évoqué était la peur d’une perte de confiance de la part des client.
Je ne suis pas partisant de la pratique mais ça se comprend.
#11
Il n’y aurait pas des obligations sur ce sujet avec le rgpd et autres lois?
#12
pas de communication publique mais un signalement à la cnil et une communication vers toutes les personnes potentiellement concernées, donc les clients de bouygues ou figurant dans des fichiers de bouygues (sur la construction d’un immeuble pour des particuliers par exemple). Mais meme si cette liste peut etre longue avec beaucoup de particulier, ca reste une population “identifiée” et non le grand publique
#13
Je partage, Bouygues Telecom est un Operateur d’importance vitale et pourrait, à ce titre devoir rendre des comptes à la société toute entière, mais Bouygues Construction n’est pas un OIV, il n’y a aucune raison pour qu’ils aient quelque devoir que ce soit envers les gens qui ne sont ni leurs clients ni leurs partenaires.
#14
Je me demande si l’ANSSI ne communique pas plubliquement pour faire pression sur Bouygues. Si c’est le deuxième gros incident, l’ANSSI a du leur faire des recommandations lors de la première, à voir si elles ont été suivies…
#15
Bouygues, une communication en béton…ou plutôt en bois
" />
#16
#17
en exposant plubliquement ca fait aussi office d’appel d’offre, les talents iront toquer a leur porte pour leur proposer leur service, et aussi d’alerter les autres entreprise de faire gafe.
concernant les mail qu’il ne faut pas ouvrir, il y a pas mal de boite qui ne savent pas gerer un domaine correctement et …. envoie des vrai mails avec des liens : laboite.survey.com laboite.download.com, parce que c’est plus simple
#18
+1000
Pourquoi devraient ils communiquer sur un pb interne ?
C’est une boite privée et ça se règle en interne et à la rigueur avec la police s’il y a eu acte malveillant ou fraude
Mais à part ça je ne vois pas
#19
Une comm’ plus ouverte est un peu plus rassurante : ils sont pros ont merdés mais personne n’est complètement à l’abris et réparent en assumant leurs responsabilités.
La comm’ à minima est anxiogène “non il ne sait rien passé… ou si peut…” Équivaut à semer le doute dans l’esprit du public : si ils minimisent (mentent ?) sur tel sujet comment faire confiance aux comm suivantes ? Quel est l’ampleur réelle des dégâts ?…
#20
Uniquement dans le cas où il y a des données à caractère personnel en jeu. Sinon, aucune obligation vis-à-vis du RGPD.
Et il faudrait, de plus, que cela représente un risque élevé pour ces personnes (par exemple, violation de coordonnées bancaires).
S’il s’agit juste d’un nom/prénom/email, cela représente donc un risque non “élevé” (minime, mais un risque quand même) et seule est obligatoire la notification à la CNIL dans les 72h suivant la détection de la violation.
Et s’il n’y a aucun risque, aucune déclaration à la CNIL n’est nécessaire.
Sinon, Bouygues n’a aucune obligation, tant en terme de transparence que du délai pour une éventuellement communication de cette violation au grand public. Donc venir se plaindre qu’il n’y a pas eu de com. alors que l’attaque date d’il y a à peine une semaine… sachant qu’ils n’ont a priori pas encore tout rétabli et/ou analyser/corriger la faille de sécurité ayant permis cette violation…
De même, dans le cadre du RGPD, le délai de 72h est un délai de notification. Charge ensuite à l’organisme concerné de revenir plus tard avec de plus amples détails si tous les détails n’étaient pas connus (nb de personnes concernées, mesures prises pour remédier à la violation, etc.). Mais le dépassement du délai doit être justifié (temps d’investigation, d’analyse, etc.).
#21
#22
Et comme par hasard, Bouygues (Télécom) vient d’annoncer qu’ils augmentaient de 60% un de leurs forfaits !!!!
On voit qui va payer les pots cassés !!!!! Cela ne peut pas être une coincidence !!!!
#OnNeNousDitPasTout !!!!
!!!
!!
!
#23
#24
C’est rien, Bouygues a bien augmenté de 260% le prix de l’EPR !
" />
#25
Et tu aurais sûrement raison
" />
Mais tu connais une banque qui a donné les détails de ce qui lui était arrivé ?
#26
Lehman Brothers ?
" />
#27
#28
Eu… Drôle de politique qu’à ton client.
Si des documents du clients sont compris, alors le client doit être informé de la fuite potentiel de ces derniers. Pour qu’il puisse prendre au plus vite les mesures nécessaire lui même.
Je crois même que c’est dans la loi. Il faut encore que je retrouve où j’ai lu ça.
Le fait de devoir dire cela au grand public, en revanche, c’est une autre histoire.
#29
Si dans un premier temps, je suis d’accord avec toi. Après réflexion, j’ai beaucoup de mal avec ton raisonnement.
L’entreprise à une obligation d’informer ses clients, qu’ils soient public ou privé, c’est une évidence.
Mais je ne vois pas en quoi ce dernier doit l’afficher sur la place public.
Ils peuvent parfaitement et doivent informer la personne ou les personnes qui représente les clients concerné pour que ces derniers prennent les dispositions nécessaire en cas de fuite.
Mais je ne vois pas l’intérêt de mettre cela sur twitter. Car en terme de com auprès des clients, c’est chelou. Perso, je ne suis pas convaincu que le ministère de la défense regarde les twittes de Bouygues construction pour se tenir au courant des incidents que ce dernier peut avoir.
Mais de la, à dire que tout les employé d’un des clients doit être tenu informé, je ne crois pas. Dans ce cas, ça sera au client d’informé les employé impacté du problème. Pas à bouygues.
#30
avec ryuk il n’y a a priori pas de compromission de données dans le sens ou il s’agit de chiffrer la donnée sans la récupérer.
Sinon sur les analyses post attaque aucune fuite de données n’a été révélée donc pas d’obligation d’avertir les clients.
#31
#32
C’est là qu’on espère que les données sensibles, même si potentiellement perdues, étaient au moins cryptées !
#33
En ce moment, je reçoit une vague de spam de service clients de paypal, orange, la banque postale comme quoi j’aurais gagné 50€ en bon d’achat ou en réduction. Un c’est suspect, mais une vague comme ça c’est 100% du spam, en plus.
Je pense que certains y croit encore à ce genre de courriel, il ne sont pourtant pas très bien fait et ont tous la même phrase d’accroche, quel que soit la sois disant provenance, mais il suffit d’un moment de distraction.
#34
Tout le groupe Bouygues n’est pas un OIV. Pour construction je ne sais pas, mais je peux te dire avec certitude que d’autres sociétés du groupe n’en sont pas 
" />