Un acteur majeur du voyage braqué ou l’autopsie d’un cybercrime

Une (minuscule) partie des données volées à un acteur majeur du tourisme français par le groupe Babuk ce jeudi 15 avril.

5 heures de panne informatique mais surtout des préjudices futurs imprévisibles - et potentiellement désastreux - pour la victime directe comme pour les victimes collatérales. C'est le résultat d'une cyberattaque perpétrée il y a deux semaines contre un leader de l'industrie du voyage en France. Retour sur un cas exemplaire.

Cette nouvelle victime de la cybercriminalité est un leader de l'industrie du voyage en France. Nous l'appellerons, par confort de lecture, REISEN. Car dans cet article, sa véritable identité n'apparaîtra pas : en notre âme et conscience (professionnelle), nous avons décidé de ne pas ajouter au préjudice d'un cambriolage informatique celui de la contre-publicité.

Pourtant, suivant un principe déontologique aussi sourcilleux, nous ne pouvions passer l'information sous silence. Relater de tels épisodes contribue à la prise de conscience de la nécessité d'une protection solide contre ce type d'agressions. Bien plus efficacement que n'importe quelle campagne de communication d'Avast et consorts, c'est ce que nous croyons. Alors, nous y apportons présentement notre modeste écot. 

Les faits

"Votre intranet a été compromis", c'est par ce message sibyllin que les choses commencent. C'est le début d'une opération d'intimidation de la part des cybercriminels dont l'objectif est de faire céder REISEN. En d'autres termes : faire payer à l'entreprise la rançon exigée pour récupérer ses données volées ou, à ce stade, éviter qu'elles le soient.

REISEN agit comme il faut le faire en pareil cas et ne donne pas suite. Un ultimatum ne vaut que s'il est suivi d'effet, et il ne faut pas compter sur les scrupules des cybercriminels pour qu'il en soit autrement. Le jeudi 15 avril, REISEN est attaquée. Les données volées sont stockées sur le cloud par le cybercriminel, pas encore publiées.

C'est grâce au travail de veille et d'enquête d'un gendarme commandant réserviste, spécialisé dans la cyberdéfense depuis plus de 30 ans, que nous sommes informés le mardi 20 avril de l'attaque qui s'est produite quelques jours plus tôt. Alors qu'il est tout à fait disposé à ce que son identité soit publiée, avec son accord, nous ne citerons pas son nom, toujours à des fins de discrétion concernant la véritable identité de REISEN.

Dark web

Ce même 20 avril, nous contactons un membre du board de REISEN, qui ne nie pas la réalité de la cyberattaque : "Nous avons effectivement subi une attaque informatique, mais ce n'est pas grand chose. Notre prestataire, Capgemini, a réagi avec diligence et efficacité : en cinq heures, le vendredi 16 avril, l'ensemble de notre service informatique était remis d'aplomb. En ce qui concerne les données volées, rien de sensible : nous ne sommes pas une banque". Et nous, nous ne sommes alors pas dupes de la tentative de minimiser la gravité des faits, mais, à ce stade, nous ne possédons pas d'éléments concrets nous permettant d'apporter la contradiction.

Nous les aurons bientôt. Le dimanche 25 avril, notre informateur porte à notre connaissance ce qui circule sur divers canaux du dark web. Rien de spectaculaire a priori : une liste de fichiers ".rar" (un format de compression). Seul le nom des fichiers laisse présager le pire : "Assurances.rar", "Banques.rar", "DG.rar", "Business Travel.rar"...

La crainte se confirme quand on double-clique sur ces dossiers compressés - c'est notre informateur qui s'en charge, avec une facilité déconcertante : à peine a-t-il dû utiliser un logiciel particulier accessible et téléchargeable gratuitement sur le web. Et là, ce sont 140 gigabits (la moitié d'un disque dur de PC, environ) d'informations qui apparaissent, scans de documents, et "kilomètres" de tableaux Excel (notre photo)...

Passeports, données bancaires, etc

En y regardant de plus près : des données internes (bancaires, de facturation, concernant des projets REISEN...), des informations sur les employés (identifiants et mots de passe, informations médicales...), des données externes, de fournisseurs et de clients (passeports, coordonnées, détails de voyage...).

Les cybercriminels sont rarement pris en défaut sur une chose : ils disent généralement la vérité à au moins un moment de leur action, celui de la menace, il en va de leur crédibilité et donc de leur puissance coercitive. Et en effet, le contenu des données mises en ligne correspond bien à ce que décrivaient avant diffusion les cybercriminels. Cette description s'accompagnait d'une mise en garde : "La publication de ces informations entraînera de lourdes amendes et suscitera l’inquiétude des clients et l’intérêt des concurrents". 

Ne jamais payer

Puis, endossant une improbable tenue de prestataire de services attentionné, le cybercriminel se dit "prêt à supprimer ces fichiers et à vous aider à résoudre vos problèmes de sécurité". Si REISEN s'était résolue à payer, elle aurait eu, à ce moment-là, une autre occasion de négocier. Ce qu'elle n'a pas fait.

Et c'est, effectivement, la seule attitude à adopter. Non seulement parce que le paiement justifie (économiquement, s'entend) la demande de rançon et l'existence de la quasi-industrie qui s'est développée autour de cette activité criminelle. Mais aussi, explique notre informateur, parce que ça ne résout rien :

"Payer n’assouvira pas la soif d’argent facile pour ces pirates qui revendront - si ce n’est pas déjà fait - les informations les plus facilement monétisables à d’autres pirates, partenaires ou non, parfois aux enchères ! Parmi celles qui peuvent se commercialiser très rapidement, les adresses mails des partenaires, d’autant qu’il peut s’agir d’adresses sensibles : une adresse électronique uniquement connue par les services, une même adresse qui va atterrir sur un pôle (finance, comptable …) de confiance, surtout si le message est aux couleurs d’une société cliente, avec les données comptables validant son authenticité."

Le coupable a un nom

"Dans le cas de la dernière victime en date du groupe Babuk, ajoute notre informateur, on retrouve par exemples des adresses électroniques d’EDF, Veolia, SFR..." Groupe Babuk, le nom est lâché, c'est celui de l'auteur de l'attaque. Un groupe ? Oui et non. C'est très vraisemblablement un individu et un seul qui a attaqué REISEN. Mais il l'a fait en utilisant un ransomware (ou rançongiciel) qu'il s'est procuré par achat auprès du "baron" Babuk qui l'a mis au point. Comme on achète un logiciel de bureautique...

Du côté de REISEN, on nous assure : "Nous avons évidemment rempli toutes nos obligations en pareil cas en déclarant l'attaque aux services de police et à la CNIL (Commission nationale Informatique & Libertés, ndr)". C'est effectivement ce qu'il faut faire dans les 72 heures suivant l'attaque. A défaut, REISEN s'exposait, au pénal, à une amende pouvant atteindre... 4% de son chiffre d'affaires.

Après l'attaque, le combat continue

Mais les obligations de REISEN ne s'arrêtent pas là et elles promettent même quelques maux de tête à une partie des équipes. En effet, REISEN est tenue de référencer l'ensemble des données volées par les cybercriminels. Elle est également soumise à une obligation de prévenir tous les tiers dont les données sont désormais dans la nature - ou, plus exactement, la jungle du dark web avant une éventuelle publication plus mainstream.

Cette obligation d'information s'étend bien sûr à l'ensemble des employés concernés de REISEN. Enfin - et on n'est plus ici dans l'obligation légale mais dans la bonne pratique indispensable - l'entreprise devra modifier ses ID, mots de passe, faire preuve de vigilance sur l'authenticité des communications entrantes, liste non exhaustive.

Les entreprises voyage et tourisme visées ?

Pour ne parler que de ces derniers mois, CWT (Carlson Wagonlit Travel), Easyjet et le site marchand de l'aéroport de Marseille ont été victimes d'attaques que nous avons relatées ad nominem parce que de notoriété publique - et ce ne sont que celles dont nous avons connaissance, autant dire : la partie émergée de l'iceberg. Plus intéressant est le cas de British Airways car il révèle une autre obligation pour les entreprises. 

> Lire aussi : CWT contrainte de payer plusieurs millions de dollars...

> Lire aussi : Easyjet victime d'une cyberattaque

> Lire aussi : British Airways condamnée suite au vol de données de ses clients

La compagnie britannique, dont le site web fut victime d'une attaque en septembre 2018, a été condamnée à payer une amende de 183,39 M£ (204 M€) en juillet 2019. En cause, l'insuffisance de ses dispositifs de protection au regard du nombre et de la sensibilité des données qu'un tel site comporte. Preuve que le RGPD (Règlement général sur la Protection des données) oblige très fortement en termes de prévention des attaques. Bien sûr, REISEN est également susceptible d'être poursuivie par des victimes collatérales de son cyberpiratage pour manque de prudence. Vu les peines infligées, nous ne lui souhaitons pas.

> Lire aussi : une tribune de Sébastien Parent (ProLicent) sur le RGPD

Par la nature de leur activité, qui implique la possession de nombreuses données clients notamment, les entreprises du voyage et du tourisme sont-elles une cible privilégiée pour les cybercriminels ? "Je ne pense pas, considère notre informateur. La plupart des cybercriminels agissent comme ces bateaux de pêche qui lancent leur filet puis le remonte pour voir ce qui a été pris."

Et dans le chalut de Babuk, il y avait donc, ce jeudi 15 avril, l'un des leaders de l'industrie du voyage. Ce jeudi 29 avril, l'intégralité de la pêche REISEN a été exposée sur l'étal dark web de Babuk.