Cyberattaque : rétablissement progressif pour la Ville de Saint-Nazaire

Un mois et demi après la cyberattaque, la remise en route des outils numériques de la Ville de Saint-Nazaire et de l’Agglomération se fait progressivement. Les audits techniques sont terminés, et l’ampleur exacte de l’attaque ainsi que les dégâts commis seraient clairement identifiés. ZATAZ a été poser quelques questions à Lockbit, l’instigateur de cette malveillance !

Recevez les infos de la semaine ZATAZ, chaque samedi, par courriel.

Recevez les infos ZATAZ dans votre téléphone pour ne rien rater des cyber’actus.

Il y un mois et demi, alors que la Ville de Saint-Nazaire avait, au cours des trois dernières années, réalisé deux audits de sécurité pour évaluer et adapter le niveau de sécurité du système d’information face à la menace croissante de piratage, les pirates du groupe Lockbit avaient réussi à passer à travers les mailles du filet. D’autant plus rageant pour les enfants de Surcouf qu’un exercice d’entraînement à la réaction avait été organisé quelques semaines avant l’attaque. De quoi permettre aux équipes de réagir plus efficacement le jour d’une attaque informatique.

Selon la communication de Saint-Nazaire, l’intrusion s’est faite à la suite du « crackage » d’un mot de passe associé à une adresse électronique technique. Ce n’est donc pas une mauvaise manipulation d’un salarié, comme le téléchargement d’une pièce jointe ou le clic sur un lien dangereux, qui est à l’origine de l’attaque. Lockbit aurait eu le temps machine pour retrouver un mot de passe d’un mail par « crack » du password !

France Numérique expliquait, en 2024, que pour craquer un mot de passe de 8 signes comprenant lettres, chiffres, majuscules, symboles [avec 12 cartes RTX 4090] il faudrait 7 ans ; 479 ans pour un mot de passe de 9 signes de type Za92829!* ; des milliers d’années pour 10 signes.

Cela tendrait à dire que ce mot de passe était faible ? Fallait-il encore que Lockbit possède le bon courriel, sésame précieux, donc ! C’est vraiment pas de chance : Lockbit avait donc la clé et la bonne porte d’accès [comment ?], et a pu tripatouiller la serrure pour rentrer ! Soit il avait le mail, la porte et la serrure [mot de passe hashé – non exploitable en l’état] et il n’avait plus qu’à travailler en interne, chez lui, pour déhasher [le rendre exploitable]  le précieux. Mais où a-t-il pu trouver les informations ? Je vois mal Lockbit s’amuser à tester toutes les possibilités de mot passe, en live, sur le web.

Mise à jour 31/05/2024 : La Ville de Saint-Nazaire a répondu à ZATAZ concernant ces questions : « C’est une attaque brute force automatisée qui est passée par le VPN via un compte générique compromis extrêmement faible (ID simple identique au PWD, donc facilement interrogeable par les dictionnaires de bots). Ce compte était une persistance du déploiement urgent de postes lors des crises covid pour équiper les agents en télétravail. Ce compte était voué à disparaitre. Donc, contrairement à ce qui a été diffusé, l’attaque n’est pas issue d’une « adresse mail générique »: pas de courriel donc, qui aurait fuité auparavant.« 

L’État de l’enquête : « Chacun se bat pour ce qui lui manque« 

L’enquête judiciaire, sous le contrôle du parquet de Paris, est toujours en cours. Depuis quelques mois, le nombre d’attaques de ce type est en constante augmentation. Sur les serveurs de la Ville de Saint-Nazaire, ont été recensés près de 150 tentatives d’attaque par jour [ce qui parait peu à la vue des bots qui pullulent sur la toile] au cours des six derniers mois, principalement par des « robots » informatiques. Une demande de rançon a bien été déposée par les pirates, mais les services de la Ville n’ont pas ouvert ce fichier potentiellement dangereux. Le fameux fichier .txt qui propose de joindre les pirates sur leur tchat « service après-vente » dédié.

Je reviens quelques secondes sur les 150 tentatives de piratage, par jour. Selon les chiffres du Service Veille ZATAZ [ils regroupent les données internes de ZATAZ et de plusieurs entreprises cyber], rien que ce 26 mai 2024, plus de 10 millions de cyber attaques sur le globe selon Bitdefender. Le 23 mai, Check Point en recensait 14 millions ! 49 679 874 millions de cyber attaques, contre la France, entre le 27 avril et le 27 mai 2024 selon Deutsche Telekom.

Recevez les infos de la semaine ZATAZ, chaque samedi, par courriel.

Recevez les infos ZATAZ dans votre téléphone pour ne rien rater des cyber’actus.

Vol de Données ?

À ce jour (le communiqué de presse date du 23 mai), les audits n’ont révélé aucune fuite de données lors de cette attaque. Contacté par ZATAZ, Lockbit indique ne pas encore avoir eu le temps de mettre dans son blog ce piratage et … les données volées. « Oui, nous allons les publier, mais nous n’avons pas encore eu le temps de nous en occuper, nous publierons plus tard« . L’action du FBI, en février dernier, semble continuer à donner du fil a retordre à Lockbit. « Je restaure les données après l’attaque du FBI, ça prend du temps« . Voilà qui explique la diffusion de « vieille » cyberattaque.

A suivre, donc, en espérant qu’il n’a rien exfiltré de sensible et de personnelle.

Bien que l’attaque n’ait touché qu’un tiers des serveurs de la Ville et de l’Agglomération, tout le système a dû être arrêté et entièrement reconstruit pour éviter toute contamination. De nombreux chantiers de réinstallation sont en cours, impliquant des prestataires extérieurs, éditeurs et installateurs de logiciels (gestion de la paie, des finances, des congés, du courrier, des menus de cantines, des inscriptions aux centres de loisirs, etc.).

La situation s’améliore chaque semaine, mais un retour à la normale complet prendra plusieurs mois. Ces opérations représentent des coûts supplémentaires qu’il est difficile d’évaluer avec précision à ce jour. Toutes les données enregistrées sur les serveurs de la Ville et de l’Agglomération jusqu’au 8 avril ont été récupérées. Les fichiers de travail et documents officiels ont donc été préservés, facilitant la reprise progressive des activités.

Recevez les infos de la semaine ZATAZ, chaque samedi, par courriel.

Recevez les infos ZATAZ dans votre téléphone pour ne rien rater des cyber’actus.

Saint-Nazaire, un port pas comme les autres

Située sur la côte atlantique, la ville de Saint-Nazaire en Loire-Atlantique – ou Bretagne selon votre choix historique – est profondément liée à l’histoire maritime de la France, notamment en ce qui concerne les sous-marins de la Marine nationale. Connue pour son chantier naval et son port stratégique, Saint-Nazaire a joué un rôle crucial dans le développement et l’entretien de la flotte sous-marine française. Située sur la côte atlantique, la ville de Saint-Nazaire est profondément liée à l’histoire maritime de la France, notamment en ce qui concerne les sous-marins de la Marine nationale. Connue pour son chantier naval et son port stratégique, Saint-Nazaire a joué un rôle crucial dans le développement et l’entretien de la flotte sous-marine française. Bref, pirater cette ville, ce n’est pas pirater n’importe quelle ville.