espace numérique

Piratage de la société Altran, un étonnant gMail découvert par ZATAZ

Vous avez très certainement entendu parler de ce ransomware venu s’inviter dans les serveurs de la société Altran. Un logiciel de rançonnage qui aurait pu être évité ? ZATAZ a mis la main sur un espace numérique de l’entreprise des plus bizarre.

Ahhhhh !!!?? Les vilains ransomwares. Des logiciels qui prennent en otage vos serveurs, machines, ordinateurs, dossiers. Si vous souhaitez retrouver vos biens numériques, il faut soit payer, soit sortir les sauvegardes.

Altran, une société française d’ingénierie et de conseils en informatique s’est retrouvée prise en otage par ce genre de logiciel malveillant. Le problème a été révélé dès le lendemain de ce blocage pirate, le 24 janvier 2019. Comme l’explique Emmanuel Paquette dans les colonnes de l’Expansion, l’ANSSI a été appelée à la rescousse.

L’Agence Nationale de la Sécurité des Systèmes d’Information se charge avant tout des OIV, des Opérateurs d’Importances Vitales. Mais comme Altran gère des clients comme Orange, EDF, Engie, Airbus ou encore Alstom, l’ANSSI envoie ses spécialistes.

« pour protéger nos clients, employés et partenaires, nous avons immédiatement déconnecté notre réseau informatique et toutes nos applications. L’enquête que nous avons menée n’a révélé aucun vol de données ni aucun cas de propagation de l’incident à nos clients » souligne le service presse d’Altran. Comme il s’agit d’un ransomware, le pirate réclame surtout de l’argent à sa victime.

Ce qui m’inquiète le plus est de savoir qu’un assureur couvre l’attaque ! Donc tout va bien dans le meilleur des mondes ? ZATAZ va vous expliquer que non !

Espace numérique bizarre, l’ANSSI alertée

Alors que nous lisions d’un œil léger cette nouvelle prise d’otage informatique, et que je recherchais des informations sur les clients d’Altran (le ransomware était peut-être un leurre pour attaquer un partenaire, comme AirBus par exemple, NDR), Google, Qwant et d’autres moteurs de recherche me sortaient une adresse IP qui aurait pu paraître anodine.

Sauf que l’adresse de cet espace numérique dirigeait sur une page baptisée « Altran Connexion« . Une demande d’identifiant et de mot de passe empêchait de connaitre les petits secrets cachés derrière cette adresse… sauf que… une fois de plus… les moteurs de recherche fournissaient des dossiers accessibles sans les précieuses clés d’accès.

Bilan, openbar dans des codes sources et certains éléments TRÈS sensibles comme des mots de passe ou une adresse gMail.

Là où cela devient « croquignolesque », l’ip utilisée dirige sur un nom de domaine, ai-as-a-service.fr, hébergé chez OVH. Un domaine dont le propriétaire est « protégé », ouvert depuis mars 2018.

Bref, soit nous avons un vrai espace Altran et des données sensibles, soit nous avons une page phishing très bien réalisée. J’avoue que les deux possibilités sont tentantes. L’ip propose aussi de « Créer un login et un mot de passe afin de pouvoir vous authentifier en tant qu’administrateur. Cela vous permettra de créer des labels ainsi que d’autres éventuels utilisateurs et de récupérer les fichiers fournis par la plateforme« . L’ANSSI a été alertée par ZATAZ.

A noter qu’un des clients d’Altran, Airbus, a aussi annoncé une attaque informatique à l’encontre de ses systèmes, quelques jours après la société d’ingénierie. Très certainement un hasard !

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.