Cyberattaque : Axido confirme le chiffrement partiel d’un environnement de production
L’ESN a isolé son système d’information et mandaté un tiers pour mener les investigations. Une partie de l’environnement de production de ses clients hébergés a été chiffrée par les attaquants.
[Mise à jour, le 20 juin 2024] Dans une nouvelle déclaration adressée à la rédaction, Axido confirme la piste du rançongiciel, sans désigner celui qui a été utilisé, ni l’enseigne potentiellement impliquée : « une partie de l’environnement de production de nos clients hébergés a été chiffrée. En conformité avec les recommandations de l’Anssi, nous avons fait le choix de ne pas entrer en contact avec les attaquants ».
Les équipes de l’ESN, qui « sont à pied d’œuvre et ont travaillé sans relâche depuis le début de l’attaque », estiment « disposer de données intègres d’avant le chiffrage, mais qui nécessitent d’être analysées en profondeur ». Il s’agit de ne pas restaurer de données susceptibles de rétablir les accès utilisés par les assaillants. Mais alors que l’analyse de l’attaque se poursuit, les mesures de restauration ont débuté.
Sans véritable surprise, Axido reste dans l’incapacité de s’avancer « sur des délais précis de remise en route des environnements de [ses] clients ». Évitant l’écueil d’un enjolivement de la situation, l’ESN concède que « la remise en production va être très longue ». Et cela notamment en raison des temps de transfert des données intègres, d’investigation et d’analyse, mais également de « reconstitution de notre infrastructure, d’autant plus longue que certains matériels sont consignés à la sécurisation de données ».
Axido dit comprendre « la situation très difficile dans laquelle cette cyberattaque met [ses] clients, en particulier ceux qui ont des logiciels métier hébergés ». De fait, l’ESN en fait elle-même actuellement la douloureuse expérience. Toutefois, « dans l’intérêt de la sécurité de nos clients et de leurs données, nous prendrons le temps d’effectuer toutes ces opérations ».
[Article original, 14 juin 2014] Axido, et le site Web de sa holding, le groupe Proxiteam, ne répondent plus. Et ce ne sont pas les seuls. Les clients ont commencé à être informés par mail et l’accueil téléphonique fait état d’un « incident de sécurité » ayant justifié l’isolement du système d’information.
Dans une déclaration adressée à la rédaction, l’ESN confirme faire face à ce qu’elle désigne comme une cyberattaque et chercher à en « limiter tous les impacts ».
À cette fin, le système d’information d’Axido a été isolé et, prudence oblige, « à ce jour, nos investigations n’ont révélé aucune fuite de données sensibles ou personnelles ». Ces investigations sont menées avec « l’aide d’un cabinet d’expertise indépendant recommandé par l’Anssi ». Les « autorités compétentes » ont été contactées et une plainte va être déposée.
Dans sa déclaration, l’ESN souligne que « la nature et la complexité de cette attaque nécessitent un processus d’investigation approfondi et rigoureux de l’identification (avec une analyse complète de l’attaque pour comprendre son origine, ses méthodes et son étendue) jusqu’à la restauration (l’élimination de toute présence de l’attaquant et la pleine sécurisation de nos systèmes) ». Ce qui est susceptible de prendre du temps.
Selon nos informations, Axido aurait été alerté mercredi 12 juin au soir d’une possible compromission d’accès à privilèges. Quelques jours plus tôt, un tel accès avait été mis en vente sur un forum notamment fréquenté par des cybercriminels, pour une entreprise française de services numérique susceptible de correspondre à Axido.
En savoir plus l’investigation et la reconstruction
- Cyberattaque : comment déterminer quelles données ont été volées ? – Rares sont les entreprises victimes de cyberattaque capables de communiquer rapidement sur la quantité et la nature des données qui leur ont été volées. Parce que c’est rarement facile à établir.
- Après l’attaque, la difficile reconstruction – À la suite d’une cyberattaque en profondeur, ramener son système d’information à des conditions opérationnelles peut s’avérer difficile, long et coûteux. Mais une approche méthodique et rigoureuse est indispensable. À moins de vouloir laisser à l’assaillant une porte ouverte pour revenir.
- Cybercriminalité : qu’est-ce qu’un courtier en accès initial ? – Le courtier en accès initial, ou « initial access broker » (en anglais), joue un rôle clé dans l’écosystème cybercriminel. À quoi cela correspond-il ?
- Vol d’identifiants : quand s’efface la frontière entre personnel et professionnel – Les maliciels dérobeurs (ou infostealers) ne font pas la différence entre identifiants personnels et professionnels. Mais les courtiers en accès initiaux ne manqueront pas de chercher à valoriser les seconds..