Cybercriminalité : Altran, la mort aux trousses
Un logiciel malveillant a frappé le groupe français d’ingénierie, dont les clients opèrent dans des domaines sensibles. La DGSI enquête sur cette « prise d’otage » dont le coût atteint déjà 20 millions d’euros.
Ce 24 janvier 2019, un dieu de la Mort s’abat sans prévenir sur une grande entreprise française. Une variante de Ryuk, un logiciel malveillant dont le nom provient du personnage de la Faucheuse dans le manga Death Note, paralyse 400 serveurs d’Altran en rendant illisibles les données qui y sont stockées. En un instant, en France comme dans plusieurs grands pays européens où le groupe est présent, la Mort fait son office et suspend l’activité de cette multinationale de 2,2 milliards d’euros de chiffre d’affaires. Dans l’Hexagone, les téléphones fixes ne sonnent plus, obligeant les salariés à utiliser leurs smartphones. Des e-mails professionnels ne parviennent pas à leurs destinataires. Et des applications internes de facturation ou de gestion des congés restent inaccessibles. « De nombreux outils informatiques ne répondent plus », témoigne un élu syndical chez Altran. L’instigateur de cette « prise d’otage » propose rapidement, via un message, de tout débloquer en fournissant une clef de déchiffrement, moyennant un paiement en bitcoins.
Le coup a été soigneusement préparé. Les assaillants avaient au préalable pris discrètement le contrôle du poste de commande informatique (l’Active Directory) dès le mois de décembre. Lors de l’assaut, la frappe est rapide et imparable. Cette nouvelle version de rançongiciel (dénommée LockerGoga), repris d’une ancienne souche connue depuis 2014, n’a pas été détectée par l’antivirus déployé chez ce spécialiste du conseil en recherche et développement.
Très vite, le groupe décide de tout couper afin d’enrayer la diffusion du virus. Le voilà obligé de réagir car ses
célèbres clients peuvent être entraînés dans ce sillage mortifère. Même s’il est peu connu du grand public, Altran accompagne dans le cadre de projets d’ingénierie innovants ou de transformation numérique des mastodontes de l’industrie française, comme EDF ou Engie dans le secteur de l’énergie, Orange dans les télécommunications, Airbus dans l’aéronautique. Se remettre rapidement de cette attaque est donc une priorité ; et rassurer ses partenaires, une urgence. Très tôt, un communiqué tombe : « Nous avons immédiatement déconnecté notre réseau informatique et toutes nos applications. L’enquête que nous avons menée n’a révélé aucun vol de données ni aucun cas de propagation de l’incident à nos clients. »
En interne, les salariés sont invités à « mettre à niveau en termes de protection » leurs ordinateurs portables ou de bureau. Pourtant, malgré tous les efforts déployés (soit 150 personnes à temps plein), les semaines passent et le rétablissement se révèle long et compliqué. Privés de leurs outils de travail, certains collaborateurs ont même été contraints par la direction de prendre un jour de congé, imposé en dernière minute, le 8 février dernier.
Les dirigeants ont bien fait appel à leurs prestataires habituels pour les épauler dans cette mauvaise passe, mais devant la complexité de cette crise, ils ont dû aussi se tourner, dans l’urgence, vers le cyberpompier de l’Etat, l’Anssi, et, plus récemment, vers Wavestone, un acteur spécialisé en cybersécurité. Car le temps est compté. La facture s’alourdit. Selon un analyste financier de Kepler Cheuvreux, le coût de cet assaut s’élèverait déjà à 20 millions d’euros. « L’estimation du montant des dommages qui seront couverts par nos assurances est toujours en cours, indique la porte-parole de l’entreprise. Notre priorité est la remise en état de nos services. »
Sans compter que, à la fin du mois, le PDG, Dominique Cerutti, doit présenter les résultats annuels de l’entreprise. Les équipes sont donc à pied d’oeuvre pour remettre en route tous les systèmes avant que leur dirigeant affronte les questions des analystes et des actionnaires. En attendant, silence total. Dans un message interne, la direction souligne que « personne n’est autorisé à communiquer à des publics externes ou internes, notamment presse, analystes, investisseurs », et de conclure : « Toute communication non autorisée sera sanctionnée. » La gestion de cette affaire commence aussi à irriter de gros clients. Selon le média La Lettre A, le constructeur automobile Renault et l’équipementier aéronautique Safran ne pouvaient toujours pas, la semaine passée, accéder à certaines de leurs données importantes. Et EDF s’est plaint auprès du gouvernement d’avoir appris la nouvelle par la presse.
Devant l’ampleur de l’offensive, Altran n’a pas eu d’autre choix que de saisir le parquet de Paris. L’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication mène désormais l’enquête. Plus discrètement, la Direction générale de la sécurité intérieure (DGSI) travaille également sur ce dossier car des « opérateurs d’importance vitale », des sociétés considérées comme indispensables au bon fonctionnement du pays, sont indirectement concernés. Selon nos informations, les investigations en cours visent non seulement à déterminer l’origine de l’assaut, mais aussi à identifier les destinataires de la rançon payée par Altran.
Pourtant déconseillé, ce versement a été réalisé contre la promesse de récupérer la clef auprès des malfrats, un sésame nécessaire au retour à la normale. Malgré un paiement supérieur à 300 bitcoins (près de 1 million d’euros au cours actuel), cette clef n’a toujours pas été remise, selon nos informations. « Nous ne souhaitons pas faire de commentaires sur une enquête en cours », indique le groupe. Bien souvent prises au dépourvu, les entreprises sont tentées, dans la panique, de céder au chantage. Selon la firme spécialisée en cybersécurité CrowdStrike, le groupe de criminels Grim Spider, soupçonné d’être d’origine russe, serait à la manoeuvre derrière Ryuk depuis le mois d’août 2018. En ciblant de grandes organisations, ces criminels auraient déjà empoché plus de 3,2 millions d’euros. Dans la liste de leurs victimes figure le groupe de presse américain Tribune Publishing (Chicago Tribune, Orlando Sentinel…), attaqué après le Nouvel An. Car jamais le dieu de la Mort ne suspend son sinistre ouvrage. Même pendant les fêtes.
Une rançon de près de 1 million d’euros versée pour éradiquer le virus. En vain