Econocom, victime d’un ransomware en septembre dernier ? Les éléments accréditant cette hypothèse se multiplient. Parmi eux, des données (très) sensibles.
Un ransomware s’est-il infiltré chez Econocom ? Ça en a tout l’air. L’entreprise apparaît désormais dans la liste des victimes revendiquées de Pysa.
Ce dernier – ainsi nommé parce qu’il exploite les bibliothèques de chiffrement pyaes et rsa – n’est pas inconnu au bataillon. En France, il fut vraisemblablement le bourreau de plusieurs collectivités territoriales.
Parmi ces collectivités figure la métropole d’Aix-Marseille-Provence.
Attaquée en mars 2020, elle n’était apparue sur le « site vitrine » de
Pysa qu’au cours de l’été.
Un tel délai n’est pas rare avec ce ransomware. Econocom ne semble pas y faire exception. Tout du moins si on se réfère à la date affichée sur le site : 29 octobre 2020.
Quelques jours avant cette date, une alerte était remontée à propos d’une attaque que la septième ESN de France aurait subie fin septembre. On n’a depuis lors eu droit à aucune confirmation officielle de l’incident. Toujours est-il que de nombreuses données sont désormais disponibles au téléchargement.
Econocom : des machines et des hommes
Les noms des fichiers révèlent des systèmes (bases SQL, domaines
internes, NAS signalé comme « important pour les RH »…), mais aussi et
surtout des personnes. Plus d’un millier, qui ont ou eurent un lien avec
Econocom : un admin réseau, un ingénieur cloud, un conseiller en
relation client, un business manager, etc.
Les archives zip qui portent leur nom contiennent pour certaines des
informations très sensibles. Outre des pièces d’identité, on trouve par
exemple des diplômes, des contrats de travail, des RIB ou des
attestations de droits à l’assurance maladie.
Si Econocom garde pour l’instant le silence, d’autres ESN victimes de ransomwares ont ouvert la communication. En première ligne, Sopra Steria, qui s’est dit touché par une variante de Ryuk (il semble s’agir de Conti). Coût estimé de l’incident : 40 à 50 millions d’euros. Mais pas de vol de données à déplorer. On n’a effectivement pas trouvé preuve du contraire jusqu’à présent.
D’une taille plus modeste, mais tout de même dans le top 50 des ESN/ICT, Umanis a quant à lui subi
la loi de Netwalker. Sa dernière annonce remonte à fin novembre. Il y a
bien eu publication de données. Mais des trois liens de téléchargement
actuellement disponibles, seul un aboutit à un fichier. Les autres ont
expiré.
Aix-Marseille-Provence est dans un cas similaire de « disparition »
progressive des données. L’indisponibilité des fichiers découle parfois
de la fermeture du compte qui a servi à les uploader.
Source :
Cette information et actualité qui a suscité notre intérêt, a été
publiée par Clément Bohic sur le site silicon.fr que nous remercions. il nous a semblé
pertinent de vous en faire profiter.