Encore une importante collectivité française piratée

ABONNEZ-VOUS GRATUITEMENT À NOS ACTUALITÉS
Si vous aimez nos actus inédites, ABONNEZ-VOUS A ZATAZ VIA GOOGLE NEWS

Ce mardi 16 mai, le système informatique de la Collectivité territoriale de Martinique (CTM) a été victime d’une cyberattaque. Une partie de l’informatique a été bloquée. ZATAZ vous explique la suite !

Lors d’une conférence de presse, Serge Letchimy, le président du conseil exécutif de Martinique, a exprimé sa préoccupation face au piratage informatique que la Collectivité territoriale de Martinique (CTM) subit depuis le 16 mai 2023. L’attaque a débuté à 4 heures du matin. « Heureusement, nous étions préparés à ce genre d’incident et nous avons réussi à contenir les dégâts relativement tôt. Cependant, nous risquons de faire face à une période de black-out informatique. » Ok, tout va bien, mais tout va bien dans la pénombre ! Les firewall du CTM ont fait leur travail. Mais jusqu’à quel niveau ? Les techniciens ont du couper les serveurs pour éviter la propagation du code malveillant, sa prise d’otage de fichiers. Une action malveillante qui se fait, la plupart du temps, aprés la copie des fichiers dans les machines visitées par le ransomware !

La CTM prévoit de réaliser un diagnostic approfondi pour identifier les causes et les conséquences de cette attaque d’envergure. Serge Letchimy souligne les enjeux importants liés à cette situation. « Le risque est élevé. Nous prévoyons que cela puisse durer trois à quatre jours« , a-t-il ajouté. L’avenir nous le dira. On ne sait pas encore qui a attaqué et jusqu’où le malveillant a pu s’inviter dans les ordinateurs. La collectivité est consciente que cette cyberattaque aura un impact sur sa capacité à assurer ses missions de service public au quotidien pour la population. La continuité de service étant au cœur des préoccupations des fonctionnaires sur le terrain. Une cellule de crise a été mise en place à la Collectivité territoriale de Martinique en réponse à la cyberattaque survenue. L’origine de l’attaque n’est pas encore connue, mais sa gravité a nécessité une réaction immédiate de la part des techniciens de la collectivité. Les ordinateurs et les téléphones sont hors service.

Depuis, le contact avec la population se fait physiquement à l’accueil du bâtiment de la collectivité. Bien que l’exécutif se veuille rassurant, il n’écarte pas la possibilité d’une situation plus complexe. Dans ce cas, les salaires du mois de juin, les prestations sociales et les paiements aux entreprises pourraient être fortement perturbés.

Dans son communiqué de presse sur Twitter, le CTM explique être à sa 6ème attaque depuis 2022. Cette dernière mésaventure numérique aurait un impact réduit : peu de serveurs impactés. On ne sait pas combien de machines touchées et surtout, il suffit qu’un seul serveur soit l’hébergeur de données sensibles comme le CCAS, les RH, etc. et le nombre ne sera plus qu’un détail !

Cet incident informatique d’envergure rappelle un événement cyber plus « léger », en début d’année 2023 lorsque le processus de vote du drapeau et de l’hymne martiniquais avait été suspendu quelques heures. À l’époque, la CTM avait également été victime de petits malins. Ces derniers avaient mis en place des « bots » ayant pour mission de voter, massivement, pour un drapeau. Finalité, les serveurs se sont vites retrouvés saturés. La mise en place d’un contrôleur de bot, un captcha, n’avait pas été pensé dès le départ de l’opération !

Comment est-ce encore possible ?

Le Service Veille s’est intéressé à ce nouveau cas dans le but de comprendre comment, en 2023, malgré la multiplication des communications sur les ransomwares, la récente création de la journée du ransomware par le marketing cyber (lol) et les nombreuses ressources fournies par des entités étatiques telles que l’ANSSI et Cyber Malveillance, ainsi que des blogs comme ZATAZ, qui détaillent les méthodes, les dangers et l’avenir des données exfiltrées par les pirates informatiques, une telle situation est encore possible.

Le Service Veille surveille et analyse environ 300 000 espaces/groupes pirates à travers le monde. Parmi eux, on compte près de 120 « teams » spécialisées dans le rançonnage numérique. Les plus connues, en raison de leur marketing malveillant, sont Lockbit 3.1, Play, Royal, Cl0P, ainsi que de nouveaux venus tels que Storm01, Akira, Malas, Rysida, BlackSuit, Ra, etc.

Au 18 mai 2023, 217 cyber attaques de types ransomwares ont été recensées par le Service Veille ZATAZ. Dans cette première partie du mois de mai, Lockbit affiche 37 victimes ; Bian Lian, 27. BlackCat / ALPHV, 27 ; les petits nouveaux d’Akira, 25.

Le cas du CTM ressemble étrangement à la cyberattaque subie par la Ville de Lille. Pour rappel, cette attaque avait permis aux pirates de mettre la main sur l’ensemble des données des employés et des élus (y compris les données bancaires), des dizaines de milliers de documents, dont ceux liés aux dernières élections et les fichiers de la police municipale (plaintes, missions des agents, etc.). La Ville de Lille avait été attaquée par les pirates du groupe Royal.

Plutôt que de se pencher sur le présent, nous avons cherché à comprendre comment les malveillants ont pu, peut-être, réussi à tromper un fonctionnaire territorial.

La cyber attaque peut aussi être passée par une faille non corrigée ; un accès distant oublié ; une imprimante connectée vulnérable. Les failles et les entrées, malheureusement ne manquent pas. Microsoft a corrigé, voilà quelques jours, trois 0day [faille connue uniquement des pirates], sans parler du 0day de Clop, exploitée à outrance en février 2023, que des dizaines d’entreprises de part le monde n’ont toujours pas corrigée.

Pour le cas du CTM, notre méthode est simple : nous nous sommes mis dans la peau de ces malveillants et avons ciblé toutes les informations pouvant découler de collectivitedemartinique.mq.

Le résultat ne s’est pas fait attendre. Nous avons sélectionné aléatoirement 35 espaces que nous surveillons. Certains sont accessibles aux premiers « crétins 2.0 », d’autres sont des infiltrations d’espaces VIP pirates. En quelques minutes à peine, nous avons pu recueillir plus de 150 adresses e-mail, identités, mots de passe et sites web tiers utilisés par des fonctionnaires. Des sites web piratés dont les données des clients/usagers ont été volées.

Exemple découvert par le veillezataz.com concernant un fonctionnaire du CTM dont les données ont été piratées par un malveillant.

Prenons le cas de M., 60 ans, adepte de la cryptomonnaie (oui, oui !) dont le mot de passe affiche fièrement son année de naissance, 1963. Aujourd’hui, M. se retrouve coincée dans pas moins de 27 combinaisons de données (combos) créées par des pirates. Espérons que M. n’utilise pas le même mot de passe partout où elle s’inscrit. Bon, je pense que vous avez la réponse !

Ensuite, nous avons les 32 abonnés au site LinkedIn. Merci pour les pirates ! Noms, fonctions, adresses e-mail professionnelles, tout est là. C’est pratique pour un malveillant qui souhaite cibler directement, par exemple, le Service Comptable, le Secrétariat Général, etc.

On pourrait également parler de B., amateur de jantes alu, dont les données ont été obtenues par un pirate après le piratage du site entraxe-jante-alu.com, ou encore de C. et de son mot de passe « Labo*972* », qui ne laisse que peu de place à la réflexion pour un « crack pass ». Les étoiles ont été rajoutées pour ne pas fournir le mot de passe complet.

En somme, employés de la Collectivité de Martinique, je vous en prie, si vous avez laissé des informations sur les sites jeu-concours.biz, interchim.com, ceddem.org, arhiv.bb.lv, news.webplanete.net, Deezer, Houz, Sadec.fr, etc. sachez qu’ils ont été piratés (je ne cite que les plus anciennes cyberattaques). Changez votre mot de passe si vous l’avez utilisé ailleurs, ainsi que votre adresse e-mail (même si, à présent, l’adresse est entre les mains des pirates). Et arrêtez, vous et d’autres, d’utiliser votre mail professionnel à des fins personnelles.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. Hervé Reply

    Merci Damien. Je suis un martiniquais qui a lu avec attention votre article.
    Merci de l attention que vous avez apportez à ce sujet.
    Bien à vous

    • Damien Bancal Reply

      Bonjour Hervé,
      De rien, un coup dur pour les équipes.
      Espérons pour elles que le malveillant se soient cassés les dents sur le firewall.
      Bien cordialement

Répondre à Damien Bancal Annuler la réponse

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.