Attaquée par un rançongiciel, une PME se voit obligée de payer les pirates

[Publié le 19/10:17 dans Les Échos]. A la suite d’un mail ouvert par une opératrice de Hot Line, toutes les données de cette entreprise (anonyme) ont été cryptées. Accusant une perte de 200 000 euros par, ce distributeur de pièces mécaniques et composants électroniques pour l’industrie a fini par payer la rançon. En Bitcoin. Par Erick Haehnsen

L’interface de Wanacry s’apaprente à celle d’un service client ! © Capture d’écran réalisée par Agence TCA

Une belle société française (qui tient à rester anonyme) exploite un site de commerce électronique spécialisé dans la distribution de pièces mécaniques et de composants électroniques pour la clientèle des entreprises industrielles. Au printemps dernier, ses salariés débarquent, comme chaque lundi, pour entamer une semaine qui s’annonce particulièrement intense en termes d’activité. En effet, avant la pause estivale, tous les clients industriels veulent passer commande afin de préparer les campagnes de production à livrer dès la rentée.

Le rançongiciel s’exprime comme un service client

L’horreur : « La société, qui réalise plusieurs dizaines de millions d’euros de chiffre d’affaires, a été attaquée par un rançongiciel. Son système d’information est complètement bloqué : le site Web inactif, toutes les données de tous les serveurs ainsi que de tous les postes de travail ont été cryptées. Elles sont devenues totalement illisibles », explique Théodore Michel Vrangos, président cofondateur d’I-Tracing, une société indépendante d’audit de sécurité des systèmes d’information, d’ingénierie de projets et de services managés qui opère des centres d’opérations de sécurité (SOC : Security Operation Center)). Sur les écrans de la PME apparaît un message inquiétant : « Qu’est-il arrivé à mon ordinateur ? La plupart de vos fichiers importants ont été cryptés. Vous êtes sûrement trop occupés pour trouver le moyen de décrypter vos fichiers. Ne perdez pas votre temps. Personne ne peut y arriver sans notre service de décryptage. » Comme dans un service client de FAQ (questions et réponses habituelles) en ligne, le message ajoute, quelque peu cynique : « Puis-je récupérer mes fichiers ? Oui, bien sûr. Mais vous avez peu de temps devant vous. Vous pouvez même décrypter gratuitement quelques fichiers. Tapez  »Décrypter ». Vous avez 3 jours pour soumettre votre paiement. Passé ce délai, le prix sera doublé. Si vous ne payez pas avant 7 jours, vous perdrez définitivement tous vos fichiers. » Autre détail important, le paiement doit s’effectuer exclusivement en Bitcoin, la célèbre monnaie cryptographique dont le cours s’élève aujourd’hui à 5 317,89 euros.

Un mail reçu par la Hot Line commerciale

On s’en doute, la pilule est d’autant plus amère que la PME est une championne du numérique. Elle dispose même d’un entrepôt logistique robotisé… « Pendant près d’une semaine, elle société a perdu 200.000 euros par jour ! Elle avait adopté une stratégie de  »citadelle »’ : firewal, anti-virus, anti-APT [Advanced Persistant Threat, menace persistante avancée, NDLR] qui s’est révélée inefficace », reprend Théodore Michel Vrangos. Pis, c’était le responsable réseau qui était chargé de la sécurité des systèmes d’information… quand il en avait le temps. Qui plus est, les sauvegardes étaient inopérantes ! « L’attaque provient d’un mail qu’une opératrice de la Hot Line commerciale avait ouvert. Elle pensait que ce mail était envoyé par le client à qui elle était en train de parler au téléphone. Elle ne s’est pas rendu compte de l’attaque », détaille le patron d’i-Tracing qui a mené l’audit. Ce qui laisse entendre que la PME a probablement été victime d’une attaque complexe et très ciblée d’ingénierie sociale. Autrement dit, les pirates étaient déjà dans la place depuis un certain temps.

Une rançon de 7 000 euros

Au final, la société s’est acquitté d’une rançon de 7 000 euros euros en Bitcoin après avoir perdu plus d’un million d’euros ! Une double punition. « C’est le seul cas que j’ai jamais vu où la société a accepté de payer », se désole Théodore Michel Vrangos. Après ce triste épisode, le distributeur de pièces industrielles a commencé par mettre en place un système de sauvegarde fin et efficace ainsi qu’un Plan de continuité d’activité avec une organisation humaine et des sauvegardes répliquées sur des sites distincts.

Erick Haehnsen