À 17h30 le 11 août, le géant du conseil Accenture avait certainement les yeux rivés sur le blog du gang Lockbit. Hébergé sur un site en .onion, accessible uniquement par le réseau Tor (une partie d’Internet communément appelée le « Dark Web »), ce site est utilisé par les cybercriminels pour faire du chantage à la divulgation d’information.
Justement, dans un message publié dans la nuit du 10 au 11 août repéré par le Parisien, Lockbit affirmait qu’il détenait des informations confidentielles sur Accenture. Compte à rebours lancé, il menaçait de les vendre à d’autres malfrats, puis de les publier : « j’espère vraiment que leurs services sont meilleurs que ce que nous avons vu depuis l’intérieur. Si vous êtes intéressé par l’achat de bases de données, contactez-nous. »
Au bout du compte à rebours, la mise en ligne des documents a… raté. Après avoir refait la manipulation, le gang a finalement réussi à mettre les fichiers à disposition. The Record Media, qui les a parcourus en surface, explique n’avoir trouvé que des brochures de présentation des produits d’Accenture, des fiches de formation interne et d’autres fichiers marketing… Bref, aucun document confidentiel.
Double extorsion
Comme la majorité des gangs qui opèrent des rançongiciels, Lockbit agit en deux temps. Une fois une victime infectée par son malware capable de paralyser tout un réseau informatique, le groupe propose de la débloquer en échange d’une rançon. Pour les grands groupes de la taille d’Accenture, la demande peut dépasser plusieurs millions, voire dizaines de millions d’euros.
Mais si l’entreprise ne cède pas au chantage — comme le conseille la majorité des spécialistes –, alors le gang la menacera de divulguer des informations confidentielles de l’entreprise. Il aura pris le soin de faire une copie des fichiers présents sur les machines infectées avant de déclencher son rançongiciel. En conséquence, les victimes risquent l’exposition de contrats clients, de documents stratégiques ou encore de données sensibles sur leurs employés.
En plus d’endommager la réputation de l’entreprise, ce genre de fuite peut aussi déclencher d’autres cyberattaques selon les documents exposés. D’après l’entreprise Cyble, les cybercriminels avaient demandé le paiement de 50 millions de dollars pour rétracter la publication de 6 téraoctets de données.
Le schéma de double extorsion utilisé par Lockbit a d’abord été popularisé par le gang Maze en 2018. Aujourd’hui, c’est une pratique commune, et les cybercriminels n’hésitent pas à aller encore plus loin dans leurs menaces. Autrement dit, l’incident auquel se confronte Accenture est a priori un incident rançongiciel comme les autres.
Impact minime
« Comme d’habitude, restons zens, Accenture a probablement 5257 départements différents et l’impact de l’extorsion sera limité », tempérait déjà le chercheur Kevin Beaumont sur Twitter avant la fin du compte à rebours. Bien que volontairement exagéré, son constat reflète une réalité : lorsque les cybercriminels déploient un rançongiciel, ils ne parviennent pas forcément à toucher l’intégralité du réseau de leurs victimes. Autrement dit, la cyberattaque peut se limiter à une petite partie du réseau, sans atteindre celle où est hébergée l’activité de conseil. En conséquence : la véritable valeur de leur butin est difficile à estimer tant que l’ampleur de la cyberattaque n’est pas connue. Et justement, Accenture, qui propose des prestations et des assurances face à ce genre d’incident, devrait en théorie être correctement préparée.
Au Parisien, Accenture confirme avoir « identifié une activité irrégulière », mais affirme qu’il n’y a « pas eu d’impact » sur ses opérations et celles de ses clients. L’entreprise n’utilise d’ailleurs pas le terme « rançongiciel », bien qu’elle explique au Bleeping Computer qu’elle a « restauré complètement les systèmes affectés à partir de ses sauvegardes », après les avoir identifiés et isolés. Bref, Accenture minimise — à juste titre, semble-t-il — l’impact de la cyberattaque qu’elle a subie.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !