LockBit n

la soi-disant fuite du ministère de la justice concerne en fait un cabinet d’avocats

La semaine dernière, les cybercriminels de LockBit menaçaient de publier des documents du ministère de la Justice français, suite à une prétendue cyberattaque. Un compte a rebors était lancé pour le 11 février, mais les malfaiteurs ont coupé court à l’attente et publié le dossier dès ce 2 février.

La Tribune a pu consulter une partie des fichiers en question : ils n’appartiennent pas au ministère de la Justice, mais à un cabinet d’avocat. La fuite contient quelques milliers de fichiers, ce qui reste un volume relativement banal.

Les documents que nous avons pu consulter sont pour l’écrasante majorité relatifs aux ressources humaines du cabinet : on y trouve par exemple des contrats de travail et des fiches d’arrêts maladie d’une dizaine de personnes. Mais la fuite contient aussi des comptes-rendus de jugement et des informations financières entre autres documents relatifs à l’activité du cabinet. Concrètement la fuite pose un réel problème de sécurité pour les personnes aux données exposées, mais elle n’affecte a priori pas directement le ministère de la justice.

Une faille grave… à l’échelle du cabinet

L’initiative de LockBit n’affecte donc qu’un cabinet d’avocat, qui, on peut le supposer, aurait refusé de payer la rançon demanded par les criminels. La fuite comprend des données personnelles très précises comme des numéros de sécurité sociale, en plus de noms, prénoms, adresses ou encore numéros de téléphone des personnes touchées.

Ces informations rendues publiques par LockBit pourrait être exploitées dans plusieurs scénarios d’actes malveillants ciblés :

  • Des malfaiteurs pourraient tenter d’usurper l’identité d’une des victimes dans le but de piéger ses clients afin de récupérer des informations confidentielles ou de faire télécharger un logiciel malveillant.
  • D’autres pourraient tenter d’exploiter ces informations pour envoyer aux victimes des messages d’hameçonnage convaincants. Ils pourraient par exemple se faire passer pour l’Assurance Maladie, et prétexter un faux remboursement pour essayer de récupérer les données bancaires de la victimes. Grâce aux numéros de sécurité sociales compris dans la fuite, il rendrait leur arnaque plus crédible.

Si le cabinet a détecté l’attaque avant la fuite, il pourrait déjà avoir pris des mesures pour limiter les effets néfastes d’une éventuelle publication. Quoiqu’il en soit, il a l’obligation, dans le cadre du règlement général sur la protection des données, de notifier cet incident à la Cnil, dans les 72h après en avoir pris connaissance.

Des cybercriminels habitués à survendre leur butin

LockBit n’est pas le premier à survendre son butin : c’est une pratique commune dans le milieu cybercriminel. Attirer l’attention sur leur chantage aux données leur permet de mettre une pression supplémentaire sur les victimes qui pourraient être tentées de payer la rançon avant que l’affaire ne prenne trop d’importance. Reste à savoir si LockBit a faussement attribué la fuite au ministère de la Justice en connaissance de cause, ou si c’est le fruit d’un travail paresseux à partir des données.

La lecon à tirer ? Cette affaire est un bon rappel que chaque fuite de données doit être analysée au cas par cas: son ampleur et sa gravité varie grandement en fonction du volume et de la qualité des informations rendues publiques. Les cybercriminels n’hésitent pas à mentir et grossir leurs coups, et il faut analyser le détail pour tirer des conclusions.