Ransomware : Play n’a pas frappé BMW France mais un concessionnaire
La revendication d’une cyberattaque contre la filiale française de BMW est apparue le 28 mars sur la vitrine de la franchise Play. Le constructeur automobile indique aujourd’hui qu’un concessionnaire a en fait été touché.
[Mise à jour, le 31 mars 2023 @ 12h15] Dans une déclaration adressée à la rédaction, BMW indique que ses experts informatiques « surveillent en permanence la situation et n’ont identifié aucune intrusion » dans les systèmes du groupe ou de sa filiale française. C’est donc ailleurs qu’il faut regarder : les experts mentionnés « ont pu localiser une brèche dans le système informatique d’un concessionnaire local, qui est une entité juridique indépendante de BMW France ».
Toutefois, le constructeur automobile indique « prendre très au sérieux la sécurité des données et la vie privée de ses clients » et dit alors qu’il « accompagner[a] et supporter[a] le concessionnaire et son équipe tout au long des étapes à venir et dans les démarches nécessaires ».
[Article original, le 29 mars 2023 @ 18h34] La publication n’est pas passée inaperçue : ce mardi 28 mars, en fin de journée, une nouvelle revendication de cyberattaque est apparue sur le site vitrine de franchise Play avec un nom, celui de BMW France.
La revendication ne précise pas de volume de données volées, mais menace de les divulguer le 9 avril prochain en l’absence de paiement de rançon. Selon les assaillants, il faudrait compter avec des « données confidentielles privées et personnelles, des documents clients, des contrats, des informations financières, etc. ».
Joint par la rédaction, un porte-parole de BMW France indique que le constructeur automobile « enquête actuellement sur une possible cyberattaque de nos systèmes ». Et de préciser que ses « spécialistes IT travaillent intensément pour enquêter sur l’impact possible et prendre les mesures nécessaires pour garantir l’intégrité de nos systèmes et de nos données et résoudre la situation le plus rapidement possible ».
Le porte-parole de la filiale française du constructeur automobile bavarois indique en outre que « l’enquête étant en cours, nous ne sommes pas en mesure de fournir plus de détails sur l’incident ou sur les systèmes et les données qui pourraient être affectés pour le moment ». Et de promettre « des mises à jour régulières dès que nous disposerons de plus d’informations ».
La franchise Play a ouvert son site vitrine à l’automne dernier. Ses deux adresses Tor sont mentionnées dans la note de rançon déposée après chiffrement – un fichier ReadMe.txt déposé notamment à la racine du disque dur C:\ – aux côtés d’une adresse e-mail.
Cette adresse e-mail semble unique à chaque victime et utilisée comme moyen exclusif de discussion pour les négociations. Les acteurs déployant Play semblent avoir un faible pour le service de messagerie électronique gratuit allemand GMX. Les adresses utilisées pour négocier avec les victimes semblent relevées régulièrement par un système utilisé pour la gestion des communications.
Le rançongiciel Play a notamment été utilisé contre l’équipementier A10 Networks, et Rackspace, ou encore le département des Alpes-Maritimes et ITS Group, en France.
Pour approfondir sur Menaces, Ransomwares, DDoS
-
Ransomware : quand deux revendications ne sont pas synonymes de deux attaquants
-
Revendication 8base : Volkswagen assure que son SI n’est pas touché
-
Ransomware : un mois de juin marqué par le silence de LockBit 3.0
-
Cyberhebdo du 21 juin 2024 : des milliers de concessionnaires automobiles paralysés aux États-Unis