Piratées en décembre 2020, des données de l’Agglomération d’Annecy diffusées dans le darkweb

Dans la nuit du 27 au 28 décembre 2020, des pirates prennent d’assaut l’informatique de l’agglomération du Grand Annecy. Six mois plus tard, les voleurs diffusent des données dans le darkweb.

Six mois aprés sa cyberattaque, l’agglomération du Grand Annecy (Haute-Savoie) pensait son cas terminé. Durant plusieurs jours, les machines étaient restées muettes, bloquées par un ransomware. Les pirates avaient pris d’assaut, dans la nuit du 27 au 28 décembre 2020, l’informatique locale imposant aux équipes l’arrêt des serveurs et des applications exploités par l’agglomération. Mission, éviter la propagation du code malveillant.

Les activités nécessitant Internet restaient accessible. A l’époque, peu d’information sur les données potentiellement volées par les pirates lors de l’intrusion.

Une exfiltration de données quasi obligatoire pour les pirates. Les fichiers collectés peuvent servir de levier pour faciliter le paiement d’une rançon. Ils peuvent aussi être revendus à des partenaires malveillants via des sites ouverts pour l’occasion comme j’ai pu vous en montrer ici et là.

Alerte lancée par l’Agglomération fin décembre. Source : Twitter

COVID, CNI et données privées diffusés

ZATAZ peut révéler que des données privées et sensibles ont bien été exfiltrées par les pirates.

Selon mes constatations, ces terroristes du numérique indiquent une infiltration datant de 12 jours avant l’annonce officielle, soit le 16 décembre 2020.

Le Service Veille ZATAZ a pu repérer plusieurs centaines de MB de données diffusées (ce qui est peu, NDLR).

Les dossiers, zippés (plusieurs documents dans le même conteneur) regroupent des références à des backups (sauvegardes), des Cartes Nationales d’Identité (95 CNI). Dans ce dernier cas, ce qui m’inquiète le plus, le chiffre accolé au dossier pirate. Il affiche le numéro 1. Cela tendrait-il à penser qu’il existe 2, 3, 4 ?

Un des autres dossiers volés référencent plusieurs documents liés à la COVID. Lui aussi affiche le chiffre 1. 55 personnes y sont présentes. Une liste couvrant 10 jours de tests médicaux (2 novembre 2020 au 12 novembre 2021) avec identités (noms, prénoms), sexes, dates de naissances et les résultats d’analyses COVID-19 (Négatif, positif, douteux).

Un second répertoire affiche ce qui semble être du personnel d’EHPAD. Il y est inscrit les identités, les adresses postales, les fonctions des agents, leurs numéros de téléphone, leur position professionnelle durant le confinement.

Pour finir, d’autres fichiers sont nominatifs et reprennent les résultats COVID communiqués par des laboratoires de santé.

Vamos !

En décembre 2020, le Grand Annecy avait déposé plainte afin de remonter et punir les pirates. L’Agence nationale de la sécurité des systèmes d’information (A.N.S.S.I.) et la Commission nationale de l’informatique et des libertés (C.N.I.L.) avaient été saisis.

Il va falloir maintenant se rendre du côté de l’Amérique du Sud pour connaître toute la vérité sur les données exfiltrées, et non rendues publiques, par les terroristes numériques

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme commandant réserviste Cyberdéfense Hauts-de-France. Ce blog est personnel. En savoir plus : https://www.damienbancal.fr

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.