mehaniq41 - stock.adobe.com
La ville d’Angers fait à son tour les frais d’une cyberattaque par ransomware
Les services de la métropole sont également affectés par une attaque entrée dans sa phase finale dans la nuit du vendredi 15 au samedi 16 janvier. Un « long » processus de nettoyage et restauration est attendu.
[Mise à jour le 19 janvier 2021 @ 12h40] Angers continue de communiquer avec une transparence certaine. Sur Twitter, la ville explique que « l'expertise continue » et que la dernière sauvegarde des systèmes affectés a « été opérée vendredi soir ». Elle précise en outre que, à ce stade « aucune extraction de données n'a été identifiée par nos experts ». Le vecteur d'intrusion initial évoqué par nos confrères de Ouest France et l'absence d'extraction de données - si l'expertise le confirme bien - réduisent l'éventail des rançongiciels susceptibles d'avoir été impliqués. Pour autant, sollicité par nos soins, le service communication de la ville assure ne pas être en mesure, « à ce stade », de préciser la famille de rançongiciel impliqué dans l'attaque.
[Article original] Les équipes de communication d’Angers ont indiqué, sur les réseaux sociaux, durant le week-end, que la ville avait subi « dans la nuit de vendredi à samedi, une cyberattaque ». Et de préciser que « le diagnostic a conclu une attaque de type rançongiciel », à l’instar de celles qui ont « frappé La Rochelle, Aix-Marseille, Vincennes, l’ADEME… dans un passé récent ».
La ville indique également que ses équipes informatiques ont, « dès samedi matin », « établi un protocole de sauvegarde et de restauration du système », en lien avec l’Agence nationale pour la sécurité des systèmes d’information (Anssi). Mais elle souligne que « ce processus de restauration va être long et impacte les services rendus aux Angevins nécessitant l’usage de l’informatique, qui seront donc en mode dégradé pendant plusieurs jours ».
La famille de ransomware impliqué n’a pas été précisée, ni même l’étendue du périmètre affecté par les activités de chiffrement, ou encore s’il y a eu exfiltration de données préalable à la détonation du ransomware.
La communauté urbaine Angers Loire Métropole est également affectée. Ce n’est guère une surprise : les ressources informatiques partagées apparaissent là nombreuses. Et l’on relève notamment un serveur Web animé par Microsoft IIS qui, selon le moteur de recherche spécialisé Shodan, a présenté plusieurs vulnérabilités pouvait permettre l’exécution de code arbitraire à distance. Comme les autres systèmes exposés sur Internet par la collectivité, dont une passerelle Citrix NetScaler, il ne répond actuellement pas.
Avec cette attaque, Angers devient la première collectivité territoriale française victime de rançongiciel cette année. En 2020, nous en avons identifié une quarantaine, dont seules quelques-unes ont fait preuve d’une transparence comparable – et aussi rapide.