Les pirates de la Ville de Lille ont-ils tout volé ?

ABONNEZ-VOUS GRATUITEMENT À NOS ACTUALITÉS
Si vous aimez nos actus inédites, abonnez-vous à ZATAZ via Google News

Parmi les fichiers copiés par les pirates informatiques de Royal se trouvent des milliers de documents comptables, RH, liés aux élections, ainsi que des données bancaires.

Ce qui était à craindre se confirme malheureusement. Comme je vous l’ai expliqué sur l’antenne de TF1 (dans le journal de 13h et 20h du 28 mars), une infiltration pirate, surtout lorsqu’elle est orchestrée par des pirates informatiques malveillants, entraînés et particulièrement agressifs, ne se passe jamais sans l’exfiltration de données.

Fin février 2023, la commune de Lille se retrouvait perturbé par une mystérieuse cyber attaque. Mi-mars, on apprenait qu’une possible fuite de données été envisagée par les autorités.

ZATAZ vous révélait le nom du groupe de pirates derrière cette agression numérique, les hackers malveillants de chez Royal, et le début d’une diffusion de contenus volés.

Je peux malheureusement vous confirmer, ce 30 mars 2023, le vol de dizaines de milliers de données personnelles de Lillois et Lilloises, d’employés des villes de Lille, Hellemmes et Lomme.

Il est temps d’alerter. Alerter, c’est sauver les autres !

Comme je le craignais, j’expliquais d’ailleurs cette inquiétude dans les colonnes du Parisien, les pirates ont pu circuler librement et, d’après mes constatations, ils ont tout pillé. On retrouve des documents comptables, des fichiers RH (dont des documents liés à la santé des employés), des factures, des devis, des fichiers d’électeurs comprenant des dizaines de milliers d’identités, d’adresses physiques, d’adresses électroniques, de numéros de téléphone, etc. Ils ont également exfiltré 127 listes d’émargement des élections présidentielles de 2022, ainsi que les listes des électeurs et électrices des régionales de 2021 (plus de 100 000 personnes et leurs données).

Données bancaires présentes !

Les pirates ont parcouru de nombreux services et ont récupéré des milliers de données bancaires, y compris les noms des banques, les RIB et les identités des propriétaires, qu’ils soient citoyens ou citoyennes, employés ou élus.

Des informations financières sont incluses, couvrant la période de janvier 2020 à janvier 2023. Des fichiers de paie avec les identités et les montants des traitements et salaires ont également été volés. Des documents du CCAS, mais aussi de la police municipale avec les identités des agents, des actions menées sur la voie publique, des noms de contrevenants avec adresses, raisons des interventions, photos, etc.

Ces données se trouvent dans l’un des trois dossiers que les pirates ont diffusés. Trois dossiers pour un total de 359 Go d’informations compressées. Une fois décompressées, l’une des archives contient 20 873 dossiers pour un total de 795 331 documents différents.

Au cours de mes 30 ans d’expérience dans la lutte contre la cybercriminalité, j’ai pu croiser des centaines de milliers de fuites de données via le Service Veille ZATAZ qui aide et rassure, aider plus de 80 000 entreprises, bénévolement, via le Protocole d’Alerte ZATAZ, mais la problématique qui percute la Ville de Lille depuis 1 mois est impressionnante!

Le plus inquiétant est que les pirates ont indiqué n’avoir diffusé que 10% de ce qu’ils ont exfiltré.

Que faire ?

La Mairie de Lille a été alertée via plusieurs canaux, ce 30 mars, dès 8h30. Dans le cas où vous seriez Lillois, dans un premier temps, la priorité est d’alerter votre banque.

Ensuite, les adresses électroniques et les numéros de téléphone fournis doivent dorénavant être considérés comme « compromis ». Comprenez qu’il va falloir redoubler de vigilance lors de la réception d’un message électronique, d’un SMS ou d’un appel téléphonique.

Ces outils de communication pourront dorénavant être utilisés dans des tentatives de malveillance (hameçonnage, etc.). Le Service Veille ZATAZ peut vous aider à savoir si vos informations sont désormais diffusées dans le darkweb et/ou dans des espaces pirates.

Pour le reste des informations, seule la Mairie de Lille pourra et devra agir [CNIL, intéressés impactés, Etc.]

Ne soyons pas dupes, Royal a diffusé cette première vague d’informations volées pour espérer obtenir une rançon de la part de la Mairie. Chose que cette dernière ne fera pas. Royal a-t-il tenté un second piratage le 28 mars ? La Ville de Lille a détecté une seconde tentative, avec une nouvelle demande de rançon envoyée par courriel. « La Ville de Lille a reçu ce jour [le 28/03], via la messagerie des mêmes quatre agents, une nouvelle menace relative aux données copiées au cours de l’intrusion informatique dont elle a été l’objet. Comme déjà indiqué dans le communiqué de la Ville de Lille du 17 mars dernier, les investigations menées après la première menace reçue le 14 mars avaient confirmé que des données ont été prélevées dans certains serveurs municipaux, dont il apparaît que certaines seraient à caractère personnel. À cette heure, nous ne connaissons pas le contenu des informations copiées.« 

Est-ce une menace envoyée par Royal ou un copycat ? Les doubles, triples cyberattaques sont monnaies courantes. Je vous révélais, il y a peu sur Linkedin et Twitter, le cas de la ville de Modesto, en Californie, en proie avec deux groupes de pirates différents.

Il est urgent d’agir. Les pirates ont peut-être déjà récupéré l’ensemble des trois dossiers diffusés par Royal et pourraient exploiter les informations à tout moment ! A noter que je n’ai rien téléchargé, il est donc inutile de me réclamer le moindre document. Le Service Veille ne pourra pas vous aider dans ce cas.

Mise à jour : La Commune de Lille a répondu à ma question « Les pirates ont-ils tout volé ? » au moins ce titre, légèrement « put* à clic » aura servi à avoir une réponse concrète. Le Service Comm’ [merci à lui de m’avoir communiqué la réponse] indique que non, et ça me rassure 🙂

Les pirates n’auraient volé que 2% de contenus internes (administrés, employés, Etc.). Ouf ! Espérons que le reste de ce qu’ils menacent de diffuser ne soit pas du même acabit que les 359G qu’ils ont déjà jeté en pâture.

Bien évidement, une mairie, comme celle de Lille ne possède pas que 4T de données stockées. Si 350G représentent 2% du stockage global, alors le stockage global représente (x = (350G * 100) / 2 x = 17 500G) donc 17,5 téraoctets.

 

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. Wax Reply

    il est intéressant d’observer que c’est le groupe ROYAL qui n’a pas pour habitude d’opérer en France qui revendique l’attaque et pas LockBit.
    ROYAL aurait-il de nouveaux objectif ?
    les données récolter sont quelque peut intéressante a savoir si la ville triche sur leur comptes ou bien si la Police Municipale à toujours était droite dans leurs procédure.

    je pense que je vais étudier ses données.

    • Damien Bancal Reply

      Bonjour,
      On entend beaucoup de choses sur Royal. On oublie juste un détail, comme tous les groupes pirates, les géolocaliser, les situer politiquement, Etc. est très difficile. Si leurs actions sont bruyantes, eux ont pour mission d’être les plus discrets possibles. A noter qu’ils visent tout ce qui bouge, n’ont pas de cibles particulières. L’occasion qui fait le larron. Ils sont un peu comme l’eau : un petit trou suffira pour inonder un espace sensé être au sec. Bonne étude 🙂

  2. Pg Reply

    Le service de veille n’est pas bénévole puisque c’est payant

  3. Ouargh Reply

     » d’employé.e.s » … Vous aussi vous vous mettez à cette horreur?

    Si vous voulez absolument distinguer le féminin du masculin, mettez « employés et employées », ou l’inverse. L’écriture pseudo-inclusive est illisible, et rend plus difficile la compréhension.
    Et puis, vous dites « ils ont tout pillé. « . Et pourquoi ce ne serait pas « elles »? « Dans le cas où vous seriez Lillois », parce que Lilloise, c’est pas grave.
    Suivez donc l’avis de l’Académie Française, ainsi que celles d’éminents linguistes, et ne massacrez donc pas notre langue. C’est une « écriture excluante » qui « s’impose par la propagande »

    • Damien Bancal Reply

      Bonjour,
      Quand le sage désigne la Lune, l’idiot regarde le doigt.

      Cordialement

Répondre à Ouargh Annuler la réponse

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.