Des milliers d’organisations piratées à la suite d’une faille logicielle exploitée par le groupe cybercriminel Clop

Cinq mois plus tard, même si la poussière retombe lentement, difficile d’établir le nombre total de victimes de ce qui apparaît comme une des plus vastes campagnes de piratage et d’extorsion de l’année, à la suite d’une faille de sécurité majeure détectée dans un logiciel utilisé par des milliers de sociétés dans le monde. Les décomptes qui avaient été opérés en juillet, notamment par l’entreprise spécialisée Emisoft, faisaient état de plus de 2 500 organisations touchées. Mais la liste des noms continue de s’allonger.

Tout éclate le 31 mai 2023, lorsque la société Progress annonce avoir découvert une première faille de sécurité dans MOVEit, son logiciel de transfert de fichiers vendu à des entreprises du monde entier. Cette vulnérabilité permet aussi bien d’exécuter du code malveillant sur le serveur ciblé que d’exfiltrer des données. Une configuration idéale pour des groupes spécialisés dans l’extorsion. Progress met rapidement en place des correctifs, mais trop tard : les victimes apparaissent au compte-goutte et les experts comprennent vite que quelqu’un a déjà exploité cette faille.

Le coupable se désigne vite. Le gang Clop, un groupe russophone spécialisé dans le rançongiciel, revendique au cours du mois de juin la paternité de cette campagne et commence à afficher sur son site, par vagues, des noms d’entreprises et d’organisations attaquées et dont les données ont été volées. Les pirates ont mis les moyens : chacun peut télécharger facilement, en torrent, les fichiers mis en ligne, alors que les éléments volés par des groupes de rançongiciel sont généralement accessibles de façon plus laborieuse, en passant par le réseau TOR. L’objectif est d’exercer une pression maximale sur les victimes, pour qu’elles paient une rançon afin d’éviter que leurs données sensibles soient mises en ligne.

Au fil des mois, les noms s’égrainent et le bilan s’alourdit. Un prestataire de la Deutsche Bank, une branche du groupe pétrolier Shell, le cabinet de conseil PricewaterhouseCoopers… Ces dernières semaines encore, de nouveaux noms de victimes ont émergé : une banque aux Etats-Unis, une compagnie d’assurances, ou encore le géant du jeu vidéo Sony. En France, deux attaques visant les sociétés Synlab et Cegedim ont été revendiquées par le groupe, et des prestataires de la SNCF ainsi que des Hospices civils de Lyon ont fait l’objet d’un vol de données via la faille de MOVEit.

Aujourd’hui, c’est désormais Progress, le distributeur du logiciel MOVEit, qui pourrait se retrouver dans la tempête. Mi-octobre, l’entreprise américaine a révélé dans des documents financiers que la Securities and Exchange Commission, le gendarme des marchés financiers américain, avait ouvert une enquête et requis tout document ou information reliés aux vulnérabilités de MOVEit ayant permis la campagne de piratages. Comme repéré par le site spécialisé The Register, Progress a également fait état de plusieurs actions en justice lancées par des clients ou des personnes disant avoir été touchées par l’exploitation de la vulnérabilité. Selon un premier bilan communiqué par la société Chainalysis au Monde, l’opération aurait rapporté, en six mois, environ 100 millions de dollars au groupe cybercriminel.

Il vous reste 45% de cet article à lire. La suite est réservée aux abonnés.