Cyberattaque : de nombreux clients de Bouygues Telecom Entreprises OnCloud paralysés
Une cyberattaque a touché une partie de l’infrastructure du service OnCloud de Bouygues Telecom Entreprises, le 18 mars 2023, affectant « quelques dizaines » de clients. La famille du ransomware impliquée ne nous a pas été précisée.
Le 20 mars, un centre de contrôle technique automobile alerte ses clients, sur les réseaux sociaux : l’application SaaS qu’il utilise pour gérer ses rendez-vous n’est pas accessible, en raison d’une cyberattaque. Ce n’est pas l’éditeur de cette application, ProTechnologies, qui est victime : c’est son hébergeur. Ce dernier est Bouygues Telecom Entreprises. C’est son service OnCloud qui est touché.
ProTechnologies n’est pas le seul concerné : il faut aussi compter avec l’éditeur Innovance Solutions. Dans ce cas, c’est la CIDFF Nord/Flandres qui lance l’alerte : là encore, l’application SaaS est indisponible. Au total, plusieurs dizaines de clients du service OnCloud auraient été affectés.
Selon nos sources, la cyberattaque a été découverte le samedi 18 mars, avec le déclenchement d’un ransomware. Celui-ci a été utilisé pour attaquer directement l’hôte VMware ESXi sur lequel s’exécutaient les machines virtuelles (VM) des clients concernés. La famille du rançongiciel utilisé ne nous a pas été précisée, ni même si un seul serveur ESXi a été touché, ou plusieurs.
Toujours selon les informations que nous avons obtenues, l’intrusion initiale remonterait au tout début du mois de mars. De quoi laisser le temps à l’assaillant d’exfiltrer des données. Mais d’après nos sources, Bouygues Telecom aurait assuré à ses clients ne pas avoir trouvé la trace d’un vol de données préalable au déclenchement du chiffrement.
Selon les données du moteur de recherche spécialisé Onyphe, l’infrastructure concernée exposait encore, le 16 mars, un serveur Citrix Gateway dans une version vulnérable susceptible d’être exploitée dans le cadre d’une cyberattaque. Ce serveur n’est plus accessible à l’heure nous publions ces lignes.
« Aucune rançon ne sera payée »
Le service OnCloud de Bouygues Telecom Entreprises est né au printemps 2021 du rapprochement de la branche télécommunications de Nerim avec Keyyo. Nerim avait fait l’acquisition de l’infogéreur Boost en 2013. Selon nos informations, c’est l’infrastructure historique de Boost qui a été affectée, au moins en partie, par la cyberattaque. C’est elle qui exposait le serveur Citrix Gateway mentionné plus haut.
Joint par la rédaction, le service de presse Bouygues Telecom Entreprises confirme qu’un ransomware « a récemment touché une des parties de l’infrastructure de la société OnCloud ».
L’opérateur indique que « la source et le mode opératoire ont été identifiés. Le processus de récupération des données a été engagé. Aucune fuite de données n’a été constatée à ce jour ».
Bouygues Telecom Entreprises confirme que « quelques dizaines » de clients ont été affectés. Et d’ajouter que, « à date, 75 % des clients ont pu retrouver l’accès au service ». En outre, « les clients concernés ont été informés par les équipes d’OnCloud dans les premières 24h. Ils ont été conseillés sur les mesures à prendre. Nous les assurons de notre détermination à limiter l’étendue et l’impact de cette introduction frauduleuse et cette entrave au bon fonctionnement de ces services ».
Le service de presse de l’opérateur indique que « des experts en cybersécurité se sont entièrement mobilisés pour rétablir le service dans les meilleurs délais. Les clients sont informés quotidiennement de l’évolution de la situation par nos équipes ». Enfin, il assure : « aucune rançon ne sera payée ».
ESN : des acteurs critiques
Fin juillet dernier 2022, Trellix soulignait la menace pesant sur les ESN. Deux semaines plus tôt, l’Américain SHI International confirmait avoir été touché par une cyberattaque « professionnelle avec maliciel », sans fournir plus de détails. Avant cela, des attaques contre Integrate Informatik AG, Adapt IT, Syredis, ou encore Datalit avaient été revendiquées sur les sites vitrine de diverses franchises de ransomware.
Au premier trimestre 2022, l’Agence nationale de la sécurité des systèmes d’information (Anssi) disait avoir « traité 18 compromissions » ayant affecté des ESN l’année précédente, contre 4 en 2020.
Et l’Anssi de souligner alors « un risque de propagation rapide d’une attaque qui peut parfois concerner un secteur d’activité entier, ou une zone géographique précise, notamment lorsque l’attaque cible une entreprise de service numérique locale ou spécialisée dans un secteur d’activité particulier ».
Huit cas étaient connus publiquement pour 2021, Infovista, Berger-Levrault, Solware, LinkOffice, Maitrex, Idline, un prestataire de la ville du Cannet des Maures – Inetum –, ou encore Xefi – du moins selon l’un de ses clients et les allégations d’Everest – et comme le suggèrent les données divulguées par le groupe début octobre dernier.
Fin mai 2022, Akka Technologies – racheté par Adecco et désormais rebaptisé Akkodis – avait été victime d’une cyberattaque impliquant le ransomware Alphv/BlackCat, à l’instar d’Inetum. Aucune de ces deux attaques n’a été revendiquée sur le site vitrine de la franchise mafieuse correspondante.
Fin septembre 2022, c’était au tour d’ITS Group d’être confronté à une cyberattaque impliquant un rançongiciel. Celle-ci a depuis été revendiquée par le groupe Play. Fin 2022, l’ESN néo-zélandaise Mecury IT a été confrontée à la franchise mafieuse LockBit, de même que Kearney & Company, et AFD.Tech (Accenture) a évoqué une « tentative d’activité irrégulière », sans plus de précision.