Cyberattaque : Axens se fait voler son nom de domaine

Le 23 octobre, tout semblait aller encore normal pour le nom de domaine d’Axens, avec une résolution pointant chez Ecritel, selon les données d’Onyphe. Le lendemain, c’est Cloudflare qui a pris la place. Que s’est-il passé ?

Selon les données de RiskIQ, le nom de domaine a changé de mains le 24 octobre. Géré précédemment chez Gandi, il a été transféré à Gname. Là, les données Whois font ressortir un dépositaire domicilié en Arabie Saoudite. C’est peut-être faux, ou du moins n’y réside-t-il pas actuellement.

À l’heure où sont publiées ces lignes, le site Web d’Axens n’est pas accessible. Un tiers semble vouloir procéder à une vente aux enchères. Il a fourni pour cela une adresse e-mail et un numéro de téléphone américain, sur une page Web qui n’est plus visible à l’heure de publication.

Ce numéro est à utiliser via WhatsApp. Là, c’est un certain « leon » qui prétend répondre. Il s’agit d’un compte « business » actif depuis avril 2024. 

Par e-mail, l’interlocuteur répond au nom de Danish Khan. Il est arabophone et l’heure à laquelle il reçoit les messages qui lui sont envoyés suggère qu’il n’est pas en Arabie Saoudite, mais dans un pays avec une heure d’avance par rapport à elle. Oman ou les Émirats arabes unis, potentiellement.

Refusant d’expliquer comment ou pourquoi avoir volé le nom de domaine d’Axens, il affiche sa détermination et sa confiance à le vendre. 

Sur son site Web, archivé le 5 octobre, Axens se présente comme un groupe proposant une « gamme complète de solutions pour la conversion du pétrole et de la biomasse en carburants plus propres, la production et la purification des principaux intermédiaires pétrochimiques, le recyclage chimique des plastiques, toutes les options de traitement et de conversion du gaz naturel, le traitement de l’eau ainsi que des solutions de capture et de stockage du carbone ».

Hasard du calendrier, Axens participait à l’Energy & Sustainability Forum (ESF) MENA à Riyad, mi-octobre. Heurtey Petrochem Solutions, rachetée par Axens en 2018, n’apparaît pas affectée par la situation. 

Dans une déclaration adressée à la rédaction, Axens indique, qu’à sa connaissance, « l’impact de cette cyberattaque ne concerne que les mails envoyés depuis le 24 octobre 11h GMT+1, date depuis laquelle nos mails ne nous sont pas parvenus ».

Différentes « procédures » non détaillées sont engagées, indique l’entreprise, qui ajoute que « tous les efforts nécessaires pour faire la lumière sur cet incident et ses impacts exacts » sont en cours.

Les emails adressés à Axens avant le 24 octobre (et donc la survenue de l’incident) ne sont pas affectés. Au-delà, une « communication de proximité avec les clients et partenaires d’Axens a été immédiatement mise en place. Nous assurons la continuité de nos communications par d’autres moyens ».

Enfin, si Axens se dit dans l’incapacité de « donner un délai précis de retour à une situation normale » à ce stade, l’entreprise indique que « toutes les équipes IT sont mobilisées pour assurer ce retour dans les meilleurs délais dans la défense des intérêts d’Axens et de ses parties prenantes ».