Une mauvaise nouvelle de plus

Tardivement revendiquée par le groupe de ransomware Royal, la cyberattaque qui a touché la mairie de Lille dans la nuit du 28 février au 1^er mars continue de faire parler d'elle. Mi-mars, la municipalité lilloise avait confirmé le prélèvement de données dans certains serveurs, dont d'éventuelles données à caractère personnel. C'est pire qu'initialement annoncé.

Fin mars, de premiers résultats d'analyses plus poussées de l'incident de sécurité transmis à la Ville de Lille ont montré avec certitude que des données personnelles exfiltrées concernaient des agents et élus municipaux.

Des résultats complémentaires des analyses attestent désormais que des données personnelles dérobées appartiennent à des citoyens ayant été en contact avec les services de la municipalité. En l'occurrence, des adresses email et postales, des numéros de téléphone, des dates et lieux de naissance, ainsi que des identifiants de compte bancaire (IBAN).

Risque de phishing malveillant

" Sur la base de ces informations (adresse électronique et / ou numéro de téléphone), des personnes malveillantes peuvent essayer d'entrer en contact direct avec des usagers pour leur indiquer les autres informations dont ils peuvent disposer (IBAN, date et lieu de naissance, adresse personnelle...) et leur faire peur quant à l'utilisation de ces données personnelles ", écrit la mairie de Lille dans un communiqué.

En plus de cet appel à la vigilance à destination des administrés et plus seulement de ses agents, la mairie souligne que les attaquants cherchent à exercer une pression sur elle. Pour faire payer une rançon ? Les usagers sont aiguillés vers la plateforme Cybermalveillance.gouv.fr afin de signaler des tentatives d'arnaque.

Si un message concerne des informations bancaires, les usagers doivent " prévenir leur banque, vérifier régulièrement les relevés de compte et signaler tout élément suspect qui y apparaîtrait. " Dans tous les cas, il ne faut pas répondre à de tels messages, cliquer sur des liens ou ouvrir des pièces jointes.

Un groupe Royal qui n'est pas ouvert à des affiliés

La mairie de Lille indique toujours qu'à ce stade, il n'y a pas de raison de penser qu'elle " n'est plus en possession de la totalité de ses données. " Reste que sa communication n'est pas rassurante. Par le biais de son portail accessible sur le Dark Web avec une adresse en .onion, le groupe Royal annonce depuis le 27 mars mettre à disposition la moitié de son butin, contre 10 % précédemment.

Initialement, ce sont trois fichiers compressés représentant un total de plus de 350 Go qui avaient été diffusés. Au-delà du cas de la mairie de Lille, le groupe de ransomware Royal semble être très actif ces dernières semaines.

À souligner que contrairement à d'autres groupes, le groupe Royal ne propose pas un modèle de Ransomware-as-a-Service avec des affiliés.