pixfly - stock.adobe.com
Ransomware : la communication transparente de la fédération néerlandaise de football
La fédération néerlandaise de football, la KNVB, évite les écueils habituels de la communication en cas de cyberattaque avec ransomware, jusqu’à reconnaître le paiement de la rançon demandée.
La communication est peut-être tardive, mais elle a le mérite d’être complète et transparente. La fédération néerlandaise de football (KNVB) vient de publier une série complète de réponses aux questions soulevées par la cyberattaque, avec ransomware, dont elle a été victime au printemps.
C’est le 4 avril 2023 que l’on apprenait l’incident. Nos confrères belges de RTL indiquaient alors que « des données personnelles d’employés ont été illégalement détournées ». Humblement, la KNVB se disait « particulièrement désolée que [ses] employés aient à faire face à cette situation » ; « malheureusement, nous n’avons pas de meilleur message pour le moment. Nous faisons tout ce qui est en notre pouvoir pour limiter les problèmes ».
Quelques mois plus tard, la KNVB a consacré une foire aux questions à l’incident. Dans celle-ci, on apprend que la franchise de ransomware impliquée est LockBit et que le chiffrement est survenu le 1er avril.
La fédération reconnaît en outre que les investigations – menées avec Fox-IT, qui avait déjà accompagné, notamment, l’université de Maastricht – n’ont pas permis de « révéler quelles données avaient été effectivement collectées ou consultées ». La faute à « un nombre limité de traces numériques », admet la KNVB.
Il n’en reste pas moins que « les fichiers qui ont pu être saisis contiennent des données personnelles dont la diffusion peut avoir des conséquences sur la vie privée des personnes concernées ».
Dès lors, « la prévention d’une telle diffusion l’emporte en fin de compte sur le principe selon lequel la KNVB ne doit pas nous laisser extorquer de l’argent ». La fédération ne précisera pas le montant qu’elle a accepté de verser aux cyberdélinquants, mais concède donc avoir cédé au chantage pour que les données volées ne soient pas publiées et soient effacées.
La KNVB n’est toutefois pas naïve et ne cherche pas à profiter du paiement de la rançon pour faire l’autruche : « la KNVB ne veut pas s’en remettre complètement aux promesses des criminels. C’est pourquoi nous informons les personnes concernées dont les données ont pu être saisies ou consultées ».
Enfin, la fédération ne cède pas à la tentation d’enjoliver la posture de cybersécurité de son système d’information au moment de la cyberattaque : elle se garde de parler de détection de l’attaque ou d’anomalie, comme beaucoup le font, au lieu d’évoquer une découverte. Elle indique en outre que « les systèmes de la KNVB sont sécurisés de diverses manières pour assurer une protection contre la cybercriminalité. Apparemment, ces mesures n’ont pas pu empêcher cette cyber-intrusion. Des spécialistes externes nous conseillent donc d’évaluer les points sur lesquels notre sécurité peut être encore renforcée ».
La fédération indique avoir informé les autorités. La transparence dont elle fait ici preuve laisse à espérer qu’elle ait fourni les détails du paiement. Cela avait notamment permis à l’université de Maastricht de récupérer une partie de la rançon versée, à l’occasion d’une saisie.