Cyberattaque du Département : l’ultimatum du groupe Play

Les hackers se sont dévoilés. Le “groupe Play” a mis en ligne une salve de 13 Go sur les 290 Go de données volées le 10 novembre dernier dans les réseaux informatiques du Département des Alpes-Maritimes. Spécialiste du ransomware, il a lancé un ultimatum, menaçant de publier le reste des données si une rançon n’est pas versée dans les cinq jours.

On en sait un peu plus sur la cyberattaque qui a touché les réseaux informatiques du Département le 10 novembre dernier. Le voile a commencé à se lever dimanche quand Play, un groupe de hackers qui pratique le ransomware, a annoncé qu’il publierait les données volées au département des Alpes-Maritimes. La menace a été mise à exécution lundi 28 novembre. Une salve de 13 Go de données sur les 290 qu'il aurait engrangées a été mise en ligne avec la menace de publier le reste si une rançon n’est pas versée dans les 5 jours (aucun montant n’a filtré). (Photo DR)

Les 13 Go de fichiers volés, quant à eux, ont été placés en accès libre sur un serveur gratuit. Ce qu’on y trouve ? Le quotidien Nice-Matin qui a consacré hier ses deux premières pages à ce “casse” informatique parle de documents assez hétéroclites allant de “photocopies de passeports ou de cartes grises à des informations sur le budget de la collectivité départementale en passant par des notes destinées au président Charles Ange Ginésy”. S’y trouvent aussi, selon le quotidien “des listes d’agents, des fichiers de la direction des ressources humaines, des factures d’entreprise et même des relevés d’identité bancaire des différents satellites de cette institution”. Une partie de ces données serait déjà obsolète mais pas toutes, est-il précisé.

Quelles utilisations frauduleuses des données déjà publiées pourraient-elles être faites ? Mais surtout, après cette “mise en bouche”, que réserve le reste du paquet de 290 Go ? Les données qui n’ont pas encore été divulguées sont-elles en revanche beaucoup plus sensibles ? Que va faire le Département ? Payer sur des montants qui peuvent être colossaux (pour la Seine-et-Marne il avait été question d’une demande de rançon de 10 M€ !) et encourager ainsi la cybercriminalité ? Ne pas payer et s’exposer à une cascade d’attaques à partir de données sensibles lancées aux quatre vents ? Des réponses devraient être apportées d’ici la fin de la semaine à l’expiration de l’ultimatum.

Quant au groupe Play qui vient de se placer au grand jour, il était jusqu’à présent connu plus particulièrement en Amérique latine et notamment au Brésil. Son dernier “coup” avait été enregistré en Argentine avec une cyberattaque du palais de justice de la ville de Cordoba. Spécialisé dans le ransomware, sa technique favorite est de s'infiltrer via un compte vérolé, que ce soit un compte entreprise ou un compte de mail, compte piraté ou acheté sur le darknet. Une fois dans la place, les hackers tentent alors d'accéder le plus rapidement possible aux systèmes clés afin de les verrouiller avec le ransomware maison.