L'AFP piratée, mais pas coulée (Blog)

La rédaction - - Médias traditionnels - 0 commentaires

"Je me souviendrai longtemps de ce que je découvre en arrivant ce matin du 1er mars à l'AFP". Sur le blog "Making-of" de l'AFP, le responsable de la sécurité des systèmes d'information de l'agence raconte en détails comment le 1er mars 2016, un groupe de pirates a tenté de pirater (et de faire chanter) l'AFP.

Blog Making-of, "Le diable se cache dans la pièce jointe", 21/03/2016

Quand Alcino Perreira, en charge de la sécurité informatique de l'AFP, arrive au bureau le 1er mars 2016, un collègue l'interpelle. "Viens voir, j'ai reçu un mail qui a l'air vraiment louche !". Ce n'est pas le seul. "Tout de suite, je fais une recherche et je découvre qu’en l’espace d’une demi-heure, ce message a été envoyé à plus de deux mille collaborateurs de l’AFP à travers le monde avec une pièce jointe infectée par un«malware»particulièrement dangereux que nos antivirus, à cet instant, ne détectent pas encore", raconte Alcino Pereira sur le passionnant blog "Making-of" de l'AFP, où les employés de l'agence racontent régulièrement les coulisses de leur travail.

Le mail en question semble provenir d'un respectable cabinet d'avocats parisien. Les pirates ont, en fait, usurpé l'adresse mail du cabinet et s'en servent à son insu pour expédier leurs messages. "A ce stade, nous bloquons l’adresse mail des avocats de façon à ce qu’elle ne puisse plus communiquer avec l’AFP. Mais il est déjà trop tard : les 2.000 mails sont déjà dans les boîtes. A moins d’un miracle, certains destinataires ont certainement déjà essayé d'ouvrir la pièce jointe…".

Que se passe-t-il si l'un des journalistes clique sur la pièce jointe de ce mail, ce qui ne manquera évidemment pas ? Le virus se met à tout crypter sur votre ordinateur : le disque dur interne, les disques durs externes et les clés USB éventuellement branchés à ce moment-là, les partages de serveur. "Tout devient illisible, inutilisable. Vous venez de perdre la totalité de vos données", explique l'expert en sécurité informatique.

Petit à petit, les équipes de l'AFP découvrent plusieurs ordinateurs infectés, dans plusieurs bureaux de l'agence, en France comme à l'étranger. "Là, ça devient vraiment inquiétant. Je me dis que les dégâts vont être lourds. On prévient la directrice des systèmes d’information de l’AFP, puis le PDG. Seule lueur d’espoir: notre antivirus s’est entretemps mis à jour avec les caractéristiques de cette attaque, probablement déjà signalée par une autre entreprise victime", raconte Perreira.

1500 euros pour récupérer ses données

D'autant qu'un message apparaît sur les ordinateurs touchés, annonçant que ce posté est crypté et le restera jusqu'au... paiement d'une rançon. Le message détaille ainsi la procédure à suivre pour acheter une clé de déchiffrement, qui permettra à l'utilisateur de récupérer ses données prises en otage. Le prix ? 1500 euros, à payer en Bitcoins, monnaie cryptographique qui permet de payer sur le net sans laisser de traces. "C’est là où l'on comprend à quel point l’affaire est rentable pour les pirates. Ce jour-là, il est probable qu’ils ont lancé une campagne de plusieurs centaines de milliers d’emails. Admettons que seules mille victimes acceptent de payer la rançon de 1.500 euros."

L'AFP, qui n'a pas cédé au chantage des pirates, a depuis porté plainte auprès de la police judiciaire. Les équipes de sécurité informatique ont isolé les ordinateurs infectés, avant de la reformater et de restaurer les données dans la journée.

Si les dégâts ont été moins importants que prévu, Perreira reste subjugé par l'efficacité de ces attaques. "Ces attaques laissent presque admiratif tant elles sont bien montées. Bien sûr on ignore qui sont les pirates et comment ils s’y sont pris. Mais on peut supposer qu’ils doivent mettre des mois à tout organiser. Que ce sont des mafias structurées comme des entreprises, avec des informaticiens ultra-spécialisés en cryptologie, des logisticiens, des traducteurs qui écrivent les messages en diverses langues, des comptables qui traitent les transactions en bitcoins…".

L'occasion de relire notre enquête : "Sur la piste des pirates de TV5Monde"

Lire sur arretsurimages.net.