peterschreiber.media - stock.ado

Ikea, Bureau Veritas, groupe Adélaïde : un même scénario de cyberattaque ?

Selon nos informations, tous trois sont confrontés à une menace affectant la messagerie électronique. Clients de Microsoft 365, ils pourraient avoir choisi de conserver des serveurs Exchange en interne. Mais pas uniquement.

Ce vendredi 26 novembre, Bleeping Computer révélait qu’Ikea est confronté à une cyberattaque. Selon nos confrères, cette attaque est basée sur un détournement de conversations tenues par e-mail. De quoi suggérer la compromission d’un serveur Exchange interne. Les alertes relatives à de tels scénarios d’attaque se sont multipliées ces dernières semaines.

Les enregistrements DNS du domaine Ikea.com suggèrent que le groupe est client de Microsoft 365. Mais la réglementation, et notamment l’invalidation, en juillet 2020, du bouclier de confidentialité UE-États-Unis pour les transferts de données personnelles pourrait l’avoir motivé à adopter un déploiement hybride et à conserver des serveurs Exchange on-premise, à l’instar d’autres groupes.

Cette configuration pourrait également être de mise chez Bureau Veritas. Les données SPF des enregistrements DNS suggèrent un recours aux services SaaS de Microsoft. Mais des sources anonymes concordantes ont évoqué, auprès de nous, une compromission de serveurs Exchange, avec déploiement du rançongiciel Conti. TrueSec décrivait, mi-novembre, des attaques impliquant Qbot, l’exploitation de ProxyShell, et, in fine, le déploiement du ransomware Conti.

Le courtier en assurances Verlingue a quant à lui indiqué, ce lundi 29 novembre au matin, avoir détecté, stoppé et circonscrit « très rapidement » une tentative d’intrusion sur son système d’information. Là encore, les données SPF des enregistrements DNS suggèrent un recours à Microsoft 365.

Mais Génération, qui fait partie du groupe Adélaïde, à l’instar de Verlingue, indique pour sa part faire l’objet d’une cyberattaque depuis le 27 novembre. Il exposait encore sur Internet, le 24 novembre, un serveur Exchange affecté par les vulnérabilités ProxyShell, selon les données du moteur de recherche spécialisé Onyphe. Ce serveur ne semble pas exclusif à Génération ; il est aussi associé au nom de domaine du groupe Adélaïde, selon son certificat.

Selon l’une de nos sources, Génération a indiqué à ses collaborateurs qu’il « est impératif de ne pas tenter de récupérer des données de votre messagerie stockées sur votre ordinateur [professionnel, N.D.L.R] ». Ces ordinateurs ne doivent pas être ouverts « sans nouvelle instruction de notre part et a minima pendant les 48 heures à venir ».

Pour approfondir sur Menaces, Ransomwares, DDoS