Ransomware : les ratés de la communication de crise
Beaucoup minimisent initialement l’importance et l’étendue de l’attaque, lorsqu’elle est détectée. Ce qui se produit souvent au dernier moment. A la clé : un délicat exercice de réorientation bien involontaire de la communication.
Mi-mars, Aix-Marseille-Provence Métropole faisait état d’une « cyberattaque d’ampleur » sur son système d’information, sans la moindre mention relative à la question d’un éventuel vol de données personnelles. Il faudra attendre la fin août pour que les assaillants diffusent des données dérobées lors de l’attaque. Avec, au menu, sans trop de surprise, des informations personnelles. Mais le silence de la collectivité sur le sujet est toujours aussi assourdissant.
Une telle communication n’est pas rare. Le groupe Rossel France ne s’est guère montré plus bavard, ni même Tarkett, ou même Elior et Fountaine Pajot, voire Logéal Immobilière. Et que dire de MMA ou du département d’Eure-et-Loir et de la mairie de Mitry-Mory ? Au moment de l'attaque, en juillet dernier, le cabinet de la maire de cette commune assurait à nos confrères du Parisien qu'aucune donnée confidentielle n'avait été affectée : « il s'agit surtout de notes personnelles pour le travail, qui nous sont utiles en mairie ». Mais les assaillants ont commencé à publier les données volées, plusieurs gigaoctets. Et de revendiquer au passage la compromission de près de 400 machines. Beaucoup, pour de simples notes personnelles de travail. Selon nos sources, il y a d'ailleurs bien plus que cela et des données personnelles sont concernées.
Donc, laisser de côté le sujet de la compromission – ne serait-ce qu’éventuelle – de données personnelles dans le cadre d’attaques de rançongiciel est au mieux naïf, au pire trompeur : un nombre croissant, depuis le début de l’année, cyber-délinquants vole des données avant d’engager le moindre chiffrement, et avant de rendre ainsi visible leur attaque. L’extorsion vient ensuite, avec la menace de divulguer les données dérobées. Dès lors, par construction, les attaques de rançongiciel s’apparentent à des brèches de données. Et certains ne semblent encore en prendre conscience que trop tardivement.
Brett Callow, chez Emsisoft, relève plusieurs exemples. Initialement, eHealth Saskatchewan assurait ne pas avoir d’indice de compromission de données confidentielles sur les patients. Un mois plus tard, début février, le Pdg de l’organisme mettait un peu d’eau dans son vin, reconnaissant l’existence de traces de trafic suspect et, du bout des lèvres, que l’on « risque de ne jamais savoir » si des données personnelles ont été compromises.
Fin février dernier, l’administration de l’île Prince Édouard, au Canada, assurait « qu’il n’y a aucune raison de croire que des données personnelles des insulaires ont été affectées par le maliciel ». Une semaine plus tard, les opérateurs de Maze publiaient des données dérobées.
Même chose pour la ville de Torrance : début mars, les autorités locales reconnaissent l’attaque, mais se veulent rassurantes, affirmant que « les données personnelles du public n’ont pas été affectées ». Près de deux mois plus tard, elles se voyaient contraintes de reconnaître que des données personnelles d’employés et « d’autres » avaient été volées lors de l’attaque. Et pour cause : les opérateurs du rançongiciel DoppelPaymer venaient de revendiquer l’opération… Le scénario s’est répété durant l’été à Knoxville, avec les mêmes cyber-délinquants.
En définitive, compte tenu de l’adoption toujours plus large de la double extorsion, affirmer qu’il n’y a pas eu d’attente à des données personnelles, c’est d’une part s’exposer au risque de devoir manger son chapeau par la suite ou, si aucune donnée n’est divulguée par les truands, de vivre avec le soupçon qu’une rançon a été payée. Avec ce que cela peut impliquer de questions embarrassantes de la part de ses actionnaires pour une entreprise.
Pour l’heure, des victimes de ransomware françaises telles que Record, Sparflex, ou encore Esii n’ont rien dit, alors même que les assaillants ont revendiqué les attaques. Les données dérobées au premier ont été divulguées, mais pas celles du second ni du troisième. Verimatrix reconnaît une « brèche de données », mais n’indique pas si des données personnelles sont concernées. Quant à Elior, comme il l'a expliqué, il aurait préféré que l’incident ne s’ébruite pas.
Tout récemment, Software AG avait commencé par ne pas évoquer de brèche de données, avant de devoir se raviser – mais sans toutefois parler d’atteinte à la confidentialité de données personnelles. En attendant, les cyber-délinquants ont commencé à divulguer des données financières.