L'annonce du piratage du ministère de la justice par le gang de rançongiciel LockBit 2.0 a été abondamment commentée hier, à raison. Mais pourtant il y a de bonnes raisons de relativiser (pour l'instant) l'événement. Thread ⬇️
C'est sûr qu'un ministère régalien hacké, ce qui est vraisemblablement le cas, ça la fout mal. Mais après? Tout dépend de la nature des données volées.
ccomptes.fr/fr/publication…
C'est là que le bât blesse certainement pour LockBit 2.0, on va voir cela en détail (à noter que si l'organisation de la sécurité du ministère de la justice est notoirement imparfaite, il n'est pas l'un des gros clients de l'Anssi).
Déjà, d'une: ce gang criminel est déjà connu pour sur-vendre ses leaks. Cet été, LockBit2.0 demande une rançon de 50 millions de dollars (oui, vous avez bien lu, ce qui la hisserait au hit-parade du genre) au groupe de conseil Accenture.
leparisien.fr/high-tech/le-g…
Réponse d'Accenture, le 1er septembre: "Cette affirmation est fausse. Comme nous l'avons indiqué, il n'y a eu aucun impact. Dès que nous avons détecté la présence de cet acteur menaçant, nous avons isolé les serveurs concernés". Le soufflé se dégonfle.
bleepingcomputer.com/news/security/…
Un deuxième exemple plus récent: l'industriel de la défense et de l'électronique Thales a également été visé par LockBit 2.0.
La firme ne paye pas et va minimiser "l’importance de cette fuite de données", indiquant "que ces dernières proviennent vraisemblablement d’un serveur de dépôt de code externe à l’entreprise, contenant « des données à faible niveau de sensibilité".
zdnet.fr/actualites/tha…
Evidemment, on peut penser que si vous êtes une victime d'un ransomware, vous avez tout intérêt à minimiser ce genre d'incident. Mais pour le coup, je pense que c'est intrinsèque à LockBit 2.0. A lire à ce sujet:
lemagit.fr/actualites/252…
C'est le point 2. Cet été, LockBit a fait beaucoup de promotion autour de son offre criminelle de location de rançongiciel, avec notamment des fonctionnalités sur sa diffusion et le chiffrement des fichiers automatiques.
bleepingcomputer.com/news/security/…
Son argument phare: son logiciel de chiffrement serait le plus rapide du marché. Allez, on va en rire même si c'est très sérieux, mais ça fait un peu vendeur de chaussettes (profession très honorable ceci dit).
My 2Cents: développé visiblement dans l'espace russophone, la franchise LockBit 2.0 a opté pour la stratégie d'un recrutement d'affiliés tous azimuts, et qu'importe si la qualité n'est pas au rendez-vous, ce qui expliquerait alors les quelques fails récents.
Parce quel est le but réel des franchisés LockBit 2.0? Hé, réfléchissez deux minutes? Si vous voulez vraiment recevoir une rançon d'une entreprise (Thales) filiale à plus de 20% de l'Etat français (...)
, ou d'une entité de ce même Etat qui affiche publiquement comme doctrine le non paiement des rançons, vous faites ça discrètement. Parce qui si c'est notoire vous mettez vos victimes dans l'incapacité de payer, le scandale serait trop grand.
ssi.gouv.fr/publication/cp…
Après s'il s'agit de faire du buzz, pour faire mousser le leak, recruter d'autres affiliés, ou revendre une partie des données volées sur un marché noir, c'est autre chose.
Revenons sur le piratage qui vise le ministère de la justice. Alors moins de 10 000 fichiers, ça me parait être un indicateur intéressant. Non, c'est pas beaucoup si on compare à d'autres fuites de données. Accenture, c'était 6 TO, par exemple.
Si c'est 10 000 fichiers d'informations hypersensibles, ce serait catastrophique. Mais alors, comme dit précédemment, la méthode de rançonnage ne serait alors vraiment pas appropriée. Il est probable au contraire que l'attaquant n'est pas trop d'idées de la valeur des fichiers.
J'ai pu lire également que, même si c'était pas des données sensibles, cela pourrait être des données publiques agrégées d'avocats, etc, ce qui pourrait alimenter des campagnes de hameçonnage.
Alors oui mais franchement l'intérêt serait limité pour des criminels (ce qui ne veut pas dire valeur nulle à la revente sur des marchés noirs), mais ces bases de données existent déjà, ça s'appelle les annuaires des barreaux.
Pour rappel, le ministère de la justice, c'est tout ça, l'origine de la fuite est donc, visiblement, dans ce périmètre, ça fait un champ large.
Un petit coup de rétro dans des affaires de piratage plus anciennes nous donne quelques exemples de données qui finissent par fuiter ou être volées.
Annoncée au départ comme visant spécifiquement le tribunal de Paris, la campagne de fishing de septembre 2020 ayant visé des institutionnels était finalement plus large, et on en a plus entendu parler depuis.
lemonde.fr/pixels/article…
Autre exemple, en avril 2018, un piratage informatique avait visé une sous page du site du ministère de la justice dédiée aux notaires et huissiers.
1200 couples identifiants-mots de passe avaient alors été dérobées. Mais le motif du hack était beaucoup plus puéril, il s'agissait pour le hacker (condamné à 4 mois de prison avec sursis) de mettre en difficulté un de ses pairs en lui attribuant le piratage.
Il y a 9 ans, des Anonymous avaient eux visiblement réussi à accéder à l'intranet du ministère de la justice. Gagnant ainsi l'accès aux circulaires et textes de loi en préparation.
numerama.com/politique/2393…
Pour LockBit 2.0, on en saura certainement plus assez vite, d'ici 13 jours, puisqu'il est donc très probable que la place Vendôme ne paye pas. Merci d'avoir suivi ce thread !

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Gabriel Thierry

Gabriel Thierry Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @gabrielthierry

Jun 24, 2021
Bonjour,
De retour ce matin à la cour d'appel de Paris pour connaître la décision du tribunal dans l'affaire #Vinnik
Sans préjuger de la décision du tribunal, on voit mal comment les infractions relatives au rancongiciel #Locky pourraient entraîner une condamnation (le ministère public n'avait pas demandé de condamnation sur ce point)
Quant à l'association de malfaiteurs elle n'avait été soutenue que par une seule partie civile
Read 36 tweets
Jun 22, 2021
On en apprend encore un peu plus sur l'affaire #RRCrypto.
Hier, des médias suggéraient une perte financière de 40 millions d'euros de cette asso promettant un rendement de 10% par mois en investissant dans des cryptoactifs.
Finalement, ce serait beaucoup plus, environ 60 ME selon @LeJournalDuCoin journalducoin.com/altcoins/actua…
@LeJournalDuCoin Pour rappel, dans un message à ses adhérents, le président de #RRCrypto, Vincent Ropiot, explique que le compte Binance (plateforme HK de gestion de cryptoactifs) aurait réinitialisé le compte, une explication qui laisse dubitatif dans le petit monde de la crypto Image
Read 12 tweets
Jun 17, 2021
Bonjour !
Troisième et dernier jour du procès Haurus.
Alors pour des questions d'agenda, à mon regret je vais sécher l'audience de ce matin, mais je vous ferai un résumé dès que possible.
La procureure Denis va donner ses réquisitions - la magistrate part à la retraite cet été, ce sera donc certainement l'un de ses derniers exercice.

Haurus, qui a fait environ un an de détention provisoire, encourt une peine de dix ans d'emprisonnement.
Alors voilà, on me souffle dans l'oreillette les réquisitions de la procureure Denis:

La magistrate a demandé une peine de sept ans d'emprisonnement et, évidemment, une interdiction d'exercer dans la police nationale et dans la fonction publique.
Read 33 tweets
Jun 16, 2021
Bonjour!
De retour au procès #Haurus pour le second jour d'audience
Une petite revue de presse pour commencer: @elsavigoureux et @L_heguiaphal ont rencontré le brigadier avant le procès nouvelobs.com/justice/202106…
On lira également avec intérêt Le Parisien ou le compte-rendu de l'AFP leparisien.fr/hauts-de-seine…
lexpress.fr/actualites/1/s…
Read 143 tweets
Jun 15, 2021
- Il ne faut pas nous prendre pour des imbéciles, poursuit la présidente. Au lieu de nous noyer dans des généralités invraisemblables, de nous dire pourquoi vous avez faits ces demandes.
La présidente commence à lire des noms.
- Les noms, je les connais pas, répond aussitôt CvGold. Je transmettais les noms sans retenir.
- Et sans vous poser des questions?
- Je sous-traitais des commandes, comme Jojodelavega.
Avec comme conséquences l'assassinat de certaines personnes profilées, objet d'une autre information judiciaire.
Read 6 tweets
Jun 15, 2021
Bonjour!
Je vais assister cet après midi à la suite des débats pour le dossier #Haurus, ce brigadier de la DGSI poursuivi pour avoir vendu des infos issues de fichiers sur le darknet.
Visiblement, si j'en crois les réseaux, je n'ai rien loupé ce matin.
Pour rappel, le papier du Parisien qui avait dévoilé l'affaire il y a trois ans cc @jpham_le leparisien.fr/faits-divers/h…
Read 84 tweets

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal

Or Donate anonymously using crypto!

Ethereum

0xfe58350B80634f60Fa6Dc149a72b4DFbc17D341E copy

Bitcoin

3ATGMxNzCUFzxpMCHL5sWSt4DVtS8UqXpi copy

Thank you for your support!

Follow Us on Twitter!

:(