Cyberattaque : comment Ecritel a coupé l’herbe sous les pieds de son assaillant

Il est neuf heures, le dimanche 8 décembre 2024, lorsqu’Ecritel déclenche une cellule de crise. L’entreprise de services numériques (ESN) soupçonne une cyberattaque à l’issue des premières analyses des alertes remontées par ses outils de supervision, une heure et sept minutes plus tôt. Les soupçons seront vite confirmés.

À 10h11, le serveur compromis dans le cadre de l’attaque est identifié et isolé. En début d’après-midi commence l’analyse des actifs présents dans le périmètre immédiatement compromis, à partir des logs. Elle est suivie de l’isolation et de l’arrêt des services « non vitaux ».

Le lundi matin, dès 9h, Ecritel sollicite les services de Synacktiv pour l’accompagner dans les analyses techniques. Ces dernières montreront que l’assaillant a pu se connecter à un serveur de fichiers interne et en exfiltrer des données le 7 décembre, entre 4h25 et 8h58. Mais aucune trace d’éventuelle connexion vers des infrastructures de clients n’est à déplorer.

Les équipes techniques d’Ecritel apparaissent avoir agi rapidement et méticuleusement. Dès le 8 décembre, les secrets liés aux actifs visités par l’intrus ont été changés. Deux jours plus tard, c’était fait pour ceux de tous les comptes des utilisateurs de l’Active Directory. Un jour de plus et les OTP des utilisateurs pouvant se connecter au VPN de l’ESN étaient à leur tour changés. Vingt-quatre heures plus tard, c’était le cas pour les clés RSA de ses collaborateurs, et la machine initialement compromise a été réinstallée. Le 13 décembre, toutes les machines potentiellement compromises avaient également été réinstallées. 

Ce n’est pas tout : Ecritel a déjà engagé des mesures de renforcement de la sécurité de ses données et de son infrastructure pour éviter qu’un tel incident ne se reproduise. 

Selon le compte-rendu d’incident, et de sources concordantes, il ne semble pas y avoir eu de chiffrement – et donc pas de dépôt de note de rançon. Cette dernière, mal nommée, contient généralement les instructions pour entrer en contact avec les cybercriminels. 

Dans le cas de l’ESN, c’est un mail, reçu le 11 décembre à 13h37 (!) qui révélera l’identité des assaillants, ou plutôt de la bannière sous laquelle ils officient. Le rapport ne dit pas si quelqu’un d’Ecritel s’est connecté à l’interface Web de négociation de l’enseigne Hunters International. Cela aurait potentiellement permis d’en savoir plus sur les fichiers volés. 

Mais le compte-rendu d’incident fait état d’une analyse humaine des fichiers présents sur le serveur compromis, sur les 12 et 13 décembre, pour « assurer le suivi auprès des collaborateurs et des clients ». C’est peut-être sur ce suivi qu’Ecritel pourrait progresser. 

Plusieurs clients de l’ESN nous ayant contactés ont dit n’avoir découvert l’incident qu’à la lecture de notre premier article, publié peu après la revendication de la cyberattaque sur la vitrine de la franchise de ransomware, le 17 décembre, et après réception d’un communiqué de presse préparé la veille qui sera, ensuite, plus largement diffusé par l’agence de communication externe d’Ecritel.

Si c’est signe que l’incident n’a pas eu d’impact sur la production chez l’ESN et pour ses clients, certains d’entre eux nous ont dit déplorer avoir dû aller chercher les informations plutôt que de se les voir adressées spontanément.