Lockbit diffuse des données volées, l’entreprise dément toute intrusion dans son système

Une archive de 9,5 Go « de données relatives à [la société française] Thales » a été publiée dans la nuit sur le site du groupe cybercriminel Lockbit. L’archive diffusée contient des données liées à des contrats et partenariat de Thales en Italie et en Malaisie.

Contacté par Le Monde, Thales confirme la diffusion de ces données sur le site des cybercriminels mais précise qu’il n’y a « pas eu d’intrusion » sur le système informatique de la société. « Les experts en sécurité de Thales ont identifié l’une des deux sources probables du vol d’informations. Il s’agit du compte d’un partenaire sur un portail d’échange dédié qui a conduit à la divulgation d’un volume limité d’informations », explique un porte-parole de l’entreprise, ajoutant que ses équipes travaillent à identifier la deuxième source. Thales précise également que cette fuite de données n’a pas d’impact sur son activité.

Les documents affichés par Lockbit sur son site mentionnent notamment un projet de Thales et de l’entreprise Novatis afin de mettre en place des outils de surveillance aérienne pour l’aéroport de Kinta Kinbalu en Malaisie : celui-ci avait été annoncé en 2018 par Thales. Les documents, datés de 2021, mentionnent le projet et le suivi assuré par Thales. D’autres fichiers font référence aux contrats passés par Thales en Italie, notamment à Florence, pour le support d’un système automatisé de vente de tickets à destination des services de transports en commun. L’archive ne semble pas contenir de données personnelles appartenant aux employés de Thales.

Lockbit avait annoncé plus tôt dans le mois être en possession de données dérobées à Thales et menaçait de les diffuser sur son site. Le groupe cybercriminel avait alors mis en place un compte à rebours annonçant une publication au 7 novembre. Le jour J, le site avait affiché un message indiquant que les données étaient publiées, sans pour autant donner l’accès à celles-ci, faisant douter les observateurs quant à la réalité de l’attaque. Les fichiers volés sont finalement apparus sur le site dans la nuit du 10 au 11 novembre.

Ce n’est pas la première fois que Lockbit revendique une attaque contre Thales : au mois de janvier, le groupe avait déjà annoncé avoir volé des données au groupe. Les données diffusées à l’époque contenaient principalement des dépôts de code provenant d’un serveur externe à l’entreprise, données jugées « peu sensible » par l’entreprise française.

Un membre du groupe arrêté au Canada

Jeudi, les autorités américaines ont annoncé l’arrestation d’une personne installée au Canada accusé d’avoir œuvré pour le groupe Lockbit. Ce citoyen, disposant d’une double nationalité russe et canadienne, est actuellement en garde à vue en attendant une extradition aux Etats Unis.

Selon les documents publiés par la justice américaine, une fouille opérée au mois d’août par les forces de l’ordre a permis de saisir l’ordinateur du suspect, montrant des traces de connexion au panneau de contrôle du rançongiciel développé par Lockbit ainsi que des messages échangés avec LockBitSupp, un compte utilisé par le groupe cybercriminel pour assurer le support de son logiciel. Toujours selon la justice américaine, un fichier contenant une liste de cibles passées et futures du groupe Lockbit a été identifié sur l’ordinateur du suspect. Au cours d’une seconde fouille, les enquêteurs ont également retrouvé la trace d’un portefeuille de cryptomonnaie détenu par le suspect contenant 0,8 bitcoin (13 482 euros selon le cours du bitcoin au moment de la publication de cet article). L’origine de ces bitcoins correspond au paiement d’une rançon par une victime du groupe Lockbit. Il risque une peine de cinq ans de prison.

Lire aussi : Lockbit : quel est ce groupe qui affirme avoir piraté un site du ministère de la justice ?

Lockbit est l’un des groupes cybercriminels les plus actifs. Il revendique sur son site de nombreuses victimes, avec cependant un succès parfois relatif. Lockbit avait ainsi annoncé le piratage de données appartenant au ministère de la justice français, avant de finalement publier des données provenant d’un cabinet d’avocat sis à Caen. Le groupe avait déjà été l’auteur par le passé de nombreuses fausses revendications. Il a cependant fait en France plusieurs victimes sérieuses, dont l’hôpital de Corbeil-Essonnes au mois d’août. Les systèmes de l’hôpital avaient été paralysés pendant plusieurs jours à la suite de l’attaque, et des données volées avaient été diffusées par le groupe au début du mois de septembre.

Lire le décryptage : Cyberattaque contre l’hôpital de Corbeil-Essonnes : ce que l’on sait sur les données diffusées

Louis Adam