Cyberattaques : la Normandie est la 26e collectivité victime connue en 2022

La région Normandie confirme une cyberattaque. Cela fait d’elle la 26e collectivité concernée cette année. Selon Onyphe, elle exposait, en juillet dernier, un système encore affecté par la vulnérabilité dite Shitrix.

La région Normandie est la 26e collectivité territoriale connue comme victime de cyberattaque en 2022. Nos confrères de Paris Normandie indiquaient, ce vendredi 9 décembre au matin, que « les sites de Rouen et de Caen feraient actuellement l’objet d’une “importante attaque” informatique ».

Une cellule de crise a été déclenchée dans la matinée de ce vendredi. Dans un communiqué, la collectivité indiquait initialement avoir « constaté depuis la nuit dernière un certain nombre de serveurs anormalement saturés ». Prudemment, la région précisait alors « ne pas pouvoir confirmer formellement une cyberattaque » à ce stade. Mais elle expliquait toutefois en avoir « une forte suspicion ».

Le service de cars régionaux, Nomad, indique sur Twitter que ses services d’accueil et de messagerie sont inaccessibles « pour une durée indéterminée », de même que son site Web. La téléphonie de l’Agence normande de la biodiversité et du développement durable (ANBDD) est également affectée, mais pas la messagerie électronique.

De nombreux services informatiques normalement exposés de la région ne sont pas accessibles, à commencer par la passerelle Citrix Gateway permettant l’accès distant aux applications et postes de travail virtualisés. 

Quelques heures plus tard, en fin de journée du 9 décembre, la région confirmait avoir été victime d'une cyberattaque. Et de préciser que « le site internet de la Région a pu être restauré à une nouvelle adresse afin de communiquer avec les Normands ». En outre, « les accès internet sont pour le moment suspendus sur les sites administratifs régionaux de Caen et Rouen, dans les lycées, ainsi que dans certains des satellites de la collectivité ».

La collectivité se dit en outre en contact avec « les services de l'Etat, l'ANSSI et les services de police afin de déposer plainte ». Un prestataire externe a été sollicité pour « caractériser et analyser le niveau de cette attaque ainsi que ses conséquences ».

Cette année, 25 collectivités territoriales victimes de cyberattaque avec ransomware ont été identifiées avant la région Normandie, dont récemment la région Guadeloupe, les conseils départementaux des Alpes-Maritimes et de Seine-et-Marne, ou encore la ville de Brunoy. Caen a évité le pire, notamment avec l’aide de l’EDR d’HarfangLab.

En 2021, nous avions identifié 29 collectivités territoriales victimes de cyberattaque avec rançongiciel, contre 33 en 2020. La transparence des collectivités en la matière restant relative, il est certain que ces chiffres restent en deçà de la réalité.

Les données du GIP Acyma, qui opère le portail Cybermalveillance.gouv.fr, suggèrent que plus de 160 administrations et collectivités territoriales ont été touchées par une cyberattaque avec rançongiciel au cours du seul premier semestre 2022.

Selon les données du moteur de recherche spécialisé Onyphe, la région exposait, début juillet, un système Citrix encore affecté par la vulnérabilité dite Shitrix. Référencée CVE-2019-19781, cette vulnérabilité a été identifiée fin 2019. Son exploitation, dans le cadre de cyberattaques, a commencé très vite, début 2020.

En décembre 2020, le groupe Ragnar Locker nous a confié avoir exploité cette vulnérabilité dans l'attaque conduite contre Dassault Falcon Jet. En mars 2021, Lactalis nous a expliqué comment il avait échappé au pire à la suite d'une intrusion ayant commencé par l'exploitation de cette même vulnérabilité dans le système d'information de sa filiale brésilienne. La vulnérabilité Shitrix compte parmi celles pour lesquelles l'application des correctifs disponibles peut ne pas être suffisante, et cela d'autant plus qu'elle intervient tardivement.

Pour approfondir sur Menaces, Ransomwares, DDoS