98 % des grandes entreprises françaises victimes de fuites sur le web
Le moteur de recherche, unique en Europe, que nous avons utilisé, Aleph search dark, permet l’identification de 48 serveurs actifs dans l’écosystème LockBit dans le dark web. En moyenne, les données trouvées sur ces grandes entreprises françaises étaient stockées sur 21 serveurs à travers le monde.
actu.fr
Enquêtes d'actu
Dernières actus
Société
Économie
Faits divers
Politique
Loisirs-Culture
Sports
Rugby
Insolite
Planète
Monde
Lifestyle
Vidéos
Newsletters
recherche
Enquête EXCLUSIF. 98% des grandes entreprises françaises victimes de fuites sur le web
Actu.fr
Mon actu
Le top
Économie
Enquête EXCLUSIF. 98 % des grandes entreprises françaises victimes de fuites sur le web
La quasi-totalité des grandes entreprises françaises ont des données stratégiques accessibles sur le dark web. Dans 90 % des cas, ce sont leurs prestataires qui ont été attaqués.
Les documents sensibles ou confidentiels que nous avons décelé ont été volé lors de cyber-attaques visant les prestataires ou tiers de confiance de grands groupes français.
Les documents sensibles ou confidentiels que nous avons décelés ont été volés lors de cyberattaques visant les prestataires ou tiers de confiance de grands groupes français. (©illustration / Adobe stock)
Par Raphaël Tual
Publié le 4 Juil 23 à 16:50
Des données stratégiques et souvent confidentielles de grandes entreprises françaises fuitent sur le web. Pas sur le web accessible à tous, mais dans sa zone la plus sombre.
Dans le dark web, nous avons retrouvé des notes d’avocats, des factures, des plans d’usines, des données bancaires, des dossiers de comités d’entreprises, des dossiers de consultants extérieurs, des dossiers juridiques en cours de jugement… Et tout cela uniquement sur les serveurs de LockBit, le groupe criminel le plus actif au monde.
98 % des fleurons de l’industrie touchés
Pour cette enquête, nous nous sommes intéressés aux 120 plus grandes entreprises du pays (indice boursier SBF 120). Elle permet de révéler que 98 % de ces grands groupes sont concernés par ces fuites de données (voir notre méthodologie en encadré).
À lire aussi
Les Sables-d’Olonne : le casino victime d’une cyberattaque a pu rouvrir ses portes
Dans 90 % des cas, il s’agit de documents volés à des prestataires et tiers de confiance (avocats, comptables…). Ces données ne viennent donc pas des systèmes d’informations de ces grandes entreprises, par ailleurs bien protégées.
Toutes sont des victimes indirectes, via leur « chaîne d’approvisionnement » (réseau d’acteurs nécessaires à l’élaboration d’un bien). Ce sont d’ailleurs ces intermédiaires qui sont de plus en plus ciblés par les pirates, avec pour objectif d’atteindre, à travers eux, des entités plus critiques.
En 2022, une entreprise française sur deux a été la cible d’une cyberattaque.
Qu’est-ce que Lockbit ?
Le groupe rançongiciel LockBit 3.0 est un groupe de cybercriminels ayant pour principal objectif le gain financier. On estime qu’il est composé d’une centaine de hackers originaires d’une multitude de pays. En France, LockBit a été à l’origine de 27 % des demandes de rançons en 2022 et 2023. Son action consiste à faire « tomber » le système d’information en chiffrant les données de ses victimes et demander une rançon pour obtenir la clé de déchiffrement. À l’issue du délai accordé, ceux qui refusent de verser la somme de plusieurs dizaines, voire centaines de milliers de dollars voient leurs données bloquées et rendues publiques sur le dark web. Il existe, selon les spécialistes, une quarantaine de groupes rançongiciels actifs dans le monde. 94% des ransomwares déposent leurs fichiers sur le dark web et 6% sur Telegram.
Les données sensibles des grandes entreprises se trouvent sur les serveurs du groupe de hackers LockBit.
Les données sensibles des grandes entreprises se trouvent sur les serveurs du groupe de hackers LockBit. (©Capture d’écran)
Contrats, documents confidentiels…
Lors de nos investigations, nous avons mis la main, par exemple, sur des contrats signés entre un cabinet conseil et le groupe Bolloré concernant des ports africains. S’agissant de ce même groupe, nous avons pu lire un mail envoyé au ministre des Transports de Côte-d’Ivoire à propos du port de San-Pedro, un contrat de « prestation de service de conseil stratégique, juridique et financier », ou encore des éléments douaniers.
Pour le groupe Thales, nous avons pu consulter des documents mentionnés comme « confidentiels » ou « commercialement sensibles ». Par exemple, nous avons pu consulter des tests de procédure de radars destinés à certaines grandes villes de Malaisie.
Nous avons retrouvé d’innombrables documents comptables de nombre de ces fleurons de l’industrie française, comme c’est le cas pour Airbus. Les serveurs de l’Airbus staff associations, association créée en 1989 à destination du personnel, ont été piratés par LockBit et une multitude de fichiers sont en accès libre sur le dark web. Toutes ces sociétés citées n’ont pas répondu à nos sollicitations.
À lire aussi
Cotentin. Le site internet du manoir du Tourp victime d’une cyberattaque
Le moteur de recherche, unique en Europe, que nous avons utilisé, Aleph search dark, permet l’identification de 48 serveurs actifs dans l’écosystème LockBit dans le dark web. En moyenne, les données trouvées sur ces grandes entreprises françaises étaient stockées sur 21 serveurs à travers le monde.
de
(©Enquêtes d’actu)
« Une menace majeure »
Ces attaques des prestataires ou tiers de confiance à l’aide de ransomware « sont une menace majeure dans le monde entier aujourd’hui », reconnaissait auprès d’Enquêtes d’actu Franz Régul, responsable de la sécurité des systèmes d’information pour les Jeux Olympiques de Paris 2024.
Notre précédente enquête concernant la sécurité des JO avait révélé qu’au moins trois prestataires des JO avaient été attaqués par les pirates de LockBit.
Les résultats de notre enquête n’étonnent pas Nicolas Hernandez, spécialiste en cybersécurité, fondateur d’Aleph Network : « Suite à une centaine d’études mandatées par nos clients, nous avons pu identifier l’étendue des fuites de données stratégiques de grosses structures, de tailles comparables à celles du SBF 120 ou du CAC 40. Ces études nous ont, dans la quasi-totalité des cas, fait identifier des données ayant fuité involontairement par des fournisseurs, qui probablement ne le savent pas eux-mêmes. »
100 % des structures qui ont missionné Aleph Network avaient des informations internes dans le dark web.
« Les politiques régaliennes de sécurisation cyber se sont essentiellement concentrées sur ces grands acteurs économiques et sur les entités critiques, laissant les plus petites structures – TPE/PME/ETI, collectivités et établissements de santé – très largement démunies et exposées aux dangers », note l’Institut Montaigne dans un rapport publié en juin 2023.
Méthodologie
Nous avons pu mener nos investigations grâce au logiciel Aleph search dark, moteur de recherche et d’analyse dans le dark web unique en Europe, développé par l’entreprise française Aleph Network. Nous avons uniquement mentionné le nom commercial des 120 entreprises du SBF 120 dans ce moteur de recherche. La totalité des 120 recherches a été effectuée le 22 mars et 22 juin 2023. Un filtre sur les serveurs LockBit identifiés a été mis en place pour se focaliser uniquement sur les résultats provenant des serveurs de Lockbit. Il n’y a eu aucune autre recherche tel que des noms de marques commerciales, adresses, brevets, noms de membres de conseils d’administration...)
Voir tout
De nouvelles normes en 2024
« Dans un futur proche, les exigences liées à ces prestataires seront davantage cadrées », projette Romain Rousseau. Cet expert en charge de la cybersécurité au sein de la société CNPP fait référence à de nouvelles normes européennes qui vont s’appliquer d’ici à septembre 2024. Il s’agit de la directive Network and information security 2 (NIS 2), adoptée par les députés européens le 10 novembre 2022. En France, les administrations de toutes tailles et les entreprises, allant de la PME au grand groupe, sont concernées.