L'annonce du piratage du ministère de la justice par le gang de rançongiciel LockBit 2.0 a été abondamment commentée hier, à raison. Mais pourtant il y a de bonnes raisons de relativiser (pour l'instant) l'événement. Thread ⬇️ 
C'est sûr qu'un ministère régalien hacké, ce qui est vraisemblablement le cas, ça la fout mal. Mais après? Tout dépend de la nature des données volées.
ccomptes.fr/fr/publication…
ccomptes.fr/fr/publication…
C'est là que le bât blesse certainement pour LockBit 2.0, on va voir cela en détail (à noter que si l'organisation de la sécurité du ministère de la justice est notoirement imparfaite, il n'est pas l'un des gros clients de l'Anssi).
Déjà, d'une: ce gang criminel est déjà connu pour sur-vendre ses leaks. Cet été, LockBit2.0 demande une rançon de 50 millions de dollars (oui, vous avez bien lu, ce qui la hisserait au hit-parade du genre) au groupe de conseil Accenture.
leparisien.fr/high-tech/le-g…
leparisien.fr/high-tech/le-g…
Réponse d'Accenture, le 1er septembre: "Cette affirmation est fausse. Comme nous l'avons indiqué, il n'y a eu aucun impact. Dès que nous avons détecté la présence de cet acteur menaçant, nous avons isolé les serveurs concernés". Le soufflé se dégonfle.
bleepingcomputer.com/news/security/…
bleepingcomputer.com/news/security/…
Un deuxième exemple plus récent: l'industriel de la défense et de l'électronique Thales a également été visé par LockBit 2.0.
La firme ne paye pas et va minimiser "l’importance de cette fuite de données", indiquant "que ces dernières proviennent vraisemblablement d’un serveur de dépôt de code externe à l’entreprise, contenant « des données à faible niveau de sensibilité".
zdnet.fr/actualites/tha…
zdnet.fr/actualites/tha…
Evidemment, on peut penser que si vous êtes une victime d'un ransomware, vous avez tout intérêt à minimiser ce genre d'incident. Mais pour le coup, je pense que c'est intrinsèque à LockBit 2.0. A lire à ce sujet:
lemagit.fr/actualites/252…
lemagit.fr/actualites/252…
C'est le point 2. Cet été, LockBit a fait beaucoup de promotion autour de son offre criminelle de location de rançongiciel, avec notamment des fonctionnalités sur sa diffusion et le chiffrement des fichiers automatiques.
bleepingcomputer.com/news/security/…
bleepingcomputer.com/news/security/…
Son argument phare: son logiciel de chiffrement serait le plus rapide du marché. Allez, on va en rire même si c'est très sérieux, mais ça fait un peu vendeur de chaussettes (profession très honorable ceci dit).
My 2Cents: développé visiblement dans l'espace russophone, la franchise LockBit 2.0 a opté pour la stratégie d'un recrutement d'affiliés tous azimuts, et qu'importe si la qualité n'est pas au rendez-vous, ce qui expliquerait alors les quelques fails récents.
Parce quel est le but réel des franchisés LockBit 2.0? Hé, réfléchissez deux minutes? Si vous voulez vraiment recevoir une rançon d'une entreprise (Thales) filiale à plus de 20% de l'Etat français (...)
, ou d'une entité de ce même Etat qui affiche publiquement comme doctrine le non paiement des rançons, vous faites ça discrètement. Parce qui si c'est notoire vous mettez vos victimes dans l'incapacité de payer, le scandale serait trop grand.
ssi.gouv.fr/publication/cp…
ssi.gouv.fr/publication/cp…
Après s'il s'agit de faire du buzz, pour faire mousser le leak, recruter d'autres affiliés, ou revendre une partie des données volées sur un marché noir, c'est autre chose.
Revenons sur le piratage qui vise le ministère de la justice. Alors moins de 10 000 fichiers, ça me parait être un indicateur intéressant. Non, c'est pas beaucoup si on compare à d'autres fuites de données. Accenture, c'était 6 TO, par exemple.
Si c'est 10 000 fichiers d'informations hypersensibles, ce serait catastrophique. Mais alors, comme dit précédemment, la méthode de rançonnage ne serait alors vraiment pas appropriée. Il est probable au contraire que l'attaquant n'est pas trop d'idées de la valeur des fichiers.
J'ai pu lire également que, même si c'était pas des données sensibles, cela pourrait être des données publiques agrégées d'avocats, etc, ce qui pourrait alimenter des campagnes de hameçonnage.
Alors oui mais franchement l'intérêt serait limité pour des criminels (ce qui ne veut pas dire valeur nulle à la revente sur des marchés noirs), mais ces bases de données existent déjà, ça s'appelle les annuaires des barreaux.
Pour rappel, le ministère de la justice, c'est tout ça, l'origine de la fuite est donc, visiblement, dans ce périmètre, ça fait un champ large.
Un petit coup de rétro dans des affaires de piratage plus anciennes nous donne quelques exemples de données qui finissent par fuiter ou être volées.
Annoncée au départ comme visant spécifiquement le tribunal de Paris, la campagne de fishing de septembre 2020 ayant visé des institutionnels était finalement plus large, et on en a plus entendu parler depuis.
lemonde.fr/pixels/article…
lemonde.fr/pixels/article…
Autre exemple, en avril 2018, un piratage informatique avait visé une sous page du site du ministère de la justice dédiée aux notaires et huissiers.
1200 couples identifiants-mots de passe avaient alors été dérobées. Mais le motif du hack était beaucoup plus puéril, il s'agissait pour le hacker (condamné à 4 mois de prison avec sursis) de mettre en difficulté un de ses pairs en lui attribuant le piratage.
Il y a 9 ans, des Anonymous avaient eux visiblement réussi à accéder à l'intranet du ministère de la justice. Gagnant ainsi l'accès aux circulaires et textes de loi en préparation.
numerama.com/politique/2393…
numerama.com/politique/2393…
Pour LockBit 2.0, on en saura certainement plus assez vite, d'ici 13 jours, puisqu'il est donc très probable que la place Vendôme ne paye pas. Merci d'avoir suivi ce thread !
• • •
Missing some Tweet in this thread? You can try to
force a refresh
