Thales refuse le chantage, des hackers publient les données volées à sa branche aérospatiale
Après avoir exigé une rançon, les cybercriminels ont mis leur menace à exécution en dévoilant des documents confidentiels siphonnés sur un serveur. « Des données à faible niveau de sensibilité », selon le groupe français.
Le sinistre compte à rebours a pris fin et « toutes les données disponibles ont été publiées » peut-on lire depuis lundi soir sur le site sur TOR des cybercriminels de Lockbit 2.0. Le gang opérant ce rançongiciel avait revendiqué le 3 janvier dernier une cyberattaque contre le groupe d’électronique français Thales. Il agitait depuis la menace de la publication des données volées dans l’opération afin de négocier une importante somme de cryptomonnaies en échange du retour des documents. Une technique de la double extorsion déjà employée l’été dernier contre le géant du conseil Accenture.
« Il y a une recrudescence de leurs attaques depuis le début de l’année avec une nouvelle version plus agressive de leur logiciel malveillant et l’exploitation de pièces jointes d’e-mail avec des Macro vérolées », analyse Guillaume Maguet, directeur technique de Deep Instinct, une entreprise de cybersécurité spécialisée dans la prévention des cyberattaques. « Ils ne proposent pas de déchiffrer les données, leur logiciel est un « wiper » qui supprime tout » poursuit l’expert. Mais ils engagent ensuite une négociation via leur plateforme sur le DarkNet avec la victime pour éviter que les précieux fichiers fuitent sur Internet.
Cible idéale pour les malfrats, le spécialiste français de l’aérospatiale, la défense et de la sécurité avait assuré dans un communiqué début janvier ne pas avoir reçu de demande de rançon mais « nous prenons cette allégation encore infondée - et quelle que soit sa source - au sérieux. Une équipe dédiée d’experts en sécurité enquête actuellement sur la situation ». Soulignant au passage : « À ce stade, il n’y a aucune preuve factuelle de cette attaque, néanmoins nous continuons à conduire des investigations, la sécurité de nos données étant une priorité ».
Deux semaines plus tard, Thales n’a apparemment pas cédé au chantage et plusieurs centaines de fichiers Zip, les plus récents datés au 1er janvier 2022, ont été dévoilées par les pirates informatiques. Il s’agit d’outils internes, notamment du code informatique, pour les développeurs des solutions Space Ops de Thales Alenia Space, la co-entreprise avec le géant de l’armement italien Leonardo dédiée à l’industrie spatiale.
Ces 1 320 fichiers n’étaient plus disponibles en téléchargement ce mardi matin. Contacté par le Parisien, le groupe Thales a reconnu l’exfiltration des données et a précisé que « la plupart des fichiers volés qui semblent avoir été copiés à partir d’un serveur de dépôt de code (« code repository »), hébergeant des données à faible niveau de sensibilité et qui est extérieur aux principaux systèmes d’information du groupe ».
Les cybercriminels auraient donc surévalué leur butin afin d’accrocher un nom important à leur crapuleux palmarès. Pas une première pour ce gang. « Ils sont considérés comme sérieux dans la technique mais peu crédibles dans leurs informations », appuie Guillaume Maguet de Deep Instinct.
C’est un serveur mal sécurisé qui aurait donc été pris pour cible par les attaquants. Et Thales de préciser : « la protection des données de nos clients étant notre priorité absolue, nous prenons contact avec les parties concernées pour discuter et informer chacune d’entre elles d’actions correctives potentielles. »
