résumé de la semaine

Les cyber-malfaisants çà ose tout…

Une nouvelle fois, des criminels ont attaqué une entreprise française par le biais de la sécurité informatique. Une nouvelle fois, ces malfaisants ont su bloquer tout le service informatique mais aussi la communication et ce depuis le 30 janvier. Une nouvelle fois, des milliers d’informations confidentielles ont été prélevées des serveurs et une rançon importante est demandée. Il s’agit de la seconde attaque sur le groupe Bouygues Construction. Bref, les cyber-malfaisants çà ose tout, c’est même à çà qu’on les reconnait. Je vous ferai grâce de ne pas nommer l’auteur de cette phrase devenue culte concernant des Tontons Flingueurs, mais comme d’habitude on vous dit tout sur ce vol de données.

Les cyber-malfaisants çà ose tout...

Les cyber-malfaisants çà ose tout, c’est même à çà qu’on les reconnait

Au matin du jeudi 30 janvier 2020, les employés et cadres qui arrivent au siège social du groupe de BTP Bouygues Construction dans les Yvelines se trouvent bien démunis. Pensez-donc, aucun ordinateur ne fonctionne ainsi que les communications qui sont en voies iP. La cause ? Une cyberattaque touchant l’entreprise tant en France qu’à l’étranger. Toute la journée, tout est bloqué laissant dans un état de désœuvrement l’ensemble des employés. A midi, aux différentes cantines du site, les bruits les plus divers circulent parmi les 3200 employés. Il faut dire que la direction le matin même a informé ceux-ci via un SMS, qu’une alerte virale avec coupure du Data Challenger (nom du siège social de Bouygues à Guyancourt dans les Yvelines) est en cours. Avec comme précision que toutes les applications seraient inaccessibles pour une durée inconnue. Dans l’après-midi afin de contrer en interne les rumeurs, il est fait état d’une “crise virale détectée sur le réseau informatique”. Il est précisé que “l’analyse des cause et des impacts est en cours.” Toujours pour contrer tout affolement tant en interne qu’en externe (les actionnaires et la Bourse) il est spécifié que “les premières actions de sécurisation sont mises en place pour l’interne comme pour les clients”.

Toute la journée du 30 janvier, les différents sièges répartis sur les cinq continents au fur et à mesure qu’ils ouvrent découvrent leur isolement, ainsi que les employés et qu’ils ne peuvent pas communiquer, ni avoir accès à leur emails professionnels. En fin de journée, pour la troisième fois, la direction générale communique avec ses employés via un SMS en les informant de la mise en place d’un numéro afin de les tenir informés ainsi que des consignes à adopter. Au soir du 30 janvier au siège de Bouygues, la situation est encore confuse et le Data Challenger ne fonctionne toujours pas.

Dans le même temps, dès les premières heures, le cabinet du ministère de l’Intérieur comme celui du Premier Ministre est informé de l’attaque. Il faut dire que Bouygues Construction fait partie, même si la liste est gardée secrète, des Opérateurs de Services Essentiels définis par la Loi. Tenue d’informer les autorités gouvernementales de cet incident, cela permet de faire intervenir des équipes techniques de l’ANSSI pour assurer le rétablissement des services informatiques. Mais du côté de l’Agence nationale de la sécurité des systèmes d’information d’après nos informations cela tousse un peu. Pensez donc, il s’agit de la deuxième attaque en moins d’un an envers la société de BTP. En effet, en mai 2019, le réseau d’une des filiales canadiennes de Bouygues Construction, avait déjà subi une attaque avec chiffrement des données des serveurs Windows via le rançongiciel Ruyk. Tant les équipes de la DSI du constructeur que de l’Anssi s’étaient assurés que tout était verrouillé. Ce qui n’était pas le cas. Par contre, aucune information n’a filtré jusqu’à présent en ce qui concerne un éventuel paiement de rançon comme demandé habituellement. Pourtant, à lire le document de l’Anssi intitulé Etat de la menace rançongiciel, daté du 05/02/2020, on peut lire “Enfin, en mai 2019, le réseau d’une filiale canadienne de Bouygues Construction a été compromis par Ryuk, chiffrant ses serveurs Windows. L’ANSSI n’a pas connaissance des montants des rançons demandées pour ces deux dernières victimes. Pour autant, la société Coveware, spécialisée dans la négociation de ce type de rançons, révèle que les opérateurs de Ryuk ont fortement augmenté le montant de leur rançon à partir de janvier 2019.” L’art de savoir écrire sans rien dévoiler.

 De même au sein de l’entreprise au niveau de la direction, on ne reste pas inactif. Des contacts informels sont établis entre les différents ministères compétents et une cellule de crise est mise en place avec l’apport d’une agence de communication. Du côté du ministère de la Défense, l’inquiétude pointe. Même si rien n’indique que des données ont été aspirées par des malfaisants, on s’inquiète de celles de l’entité Opale Défense regroupant Bouygues, Thalès et Sodexo et comprenant entre autre les plans d’architectes du constructeur mais aussi ceux du ministère des Armées pour ce qui concerne le bunker inexpugnable construit à l’intérieur même du Pentagone français, siège je le rappelle du ministère de la Défense (MINDEF).

Discrètement, dans la journée, un certain nombre de techniciens de l’Anssi sont arrivés au siège de Bouygues. Rapidement il est constaté qu’il s’agit d’une attaque virale de type ransomware comme l’indiquera le 31/1/2020 dans l’après-midi un communiqué de Bouygues. 

Les cyber-malfaisants çà ose tout...

Pour information, le prochain communiqué de presse du groupe daté du 05/02/2020  ne parlera plus d’attaque virale de type ransomware mais simplement d’attaque virale du réseau informatique. Une manière de cacher comme c’est le cas habituellement en France dans ce type d’attaque toute demande de versement de rançon. Une attitude spécifiquement française à l’inverse d’autres entreprises étrangères qui n’hésitent pas à communiquer tant au niveau de leurs collaborateurs que du public. Comme le soulignait Garance Mathiais lors de la conférence Panocrim du Clusif On a pu voir l’exemple d’Altran, qui s’est contenté de deux communiqués pendant la crise avant un retour d’expérience de la part du PDG en fin d’année. En France, on préfère rester discret, tandis qu’à l’étranger on voit des exemples de communication plus transparente, comme l’exemple de Norsk Hydro”.

On s’agace un peu

La journée du 31 janvier est une catastrophe en externe comme en interne pour le groupe. Le journal Leparisien.fr est le premier a indiqué que “les cybercriminels ne seraient pas repartis les mains vides, selon plusieurs sources”. En effet, dès la veille, notre confrère Damien Bancal du site Zataz.com a pu prendre contact en fin de journée avec les pirates comme il les appelle et ils  l’ont informé qu’ils réclamaient 10 millions d’euros mais surtout qu’ils avaient subtilisé 200 Go de données dont certaines confidentielles. Au sein de la direction générale du groupe on tousse un peu en lisant dans la presse de telles informations, d’autant que du côté des ministères concerné on commence un peu à s’inquiéter. Bref, on s’agace, pour rester courtois.

En interne, au siège, les collaborateurs tournent de plus en plus en rond. Certaines personnes s’imaginent déjà faire des concours de macramé. C’est dire ! Comme l’indique toujours Leparisien.fr “ Plus aucun service ne fonctionne. Nos chantiers sont bloqués à cause des commandes impossibles à passer. Les logiciels de gestion comptable sont aussi à l’arrêt : il n’y a aucun paiement des sous-traitants ou des clients », s’alarme un employé basé au Royaume-Uni.”. Lire de telles informations laisse croire que le groupe et plus particulièrement les dirigeants ne contrôlent plus rien. Afin de taire rumeurs et drames pour certains, un SMS est envoyé à tous les collaborateurs du groupe en fin de la journée du vendredi 31 janvier indiquant que “la situation perdurera tout le week-end et qu’un prochain point d’information sera fait dimanche soir” tout en leur demandant de ne pas propager des rumeurs. Donc il y a un souci mais surtout il ne faut pas le dire.

Pour contrer la diffusion de fausses informations, le service communication se fend d’un tweet.

Et cela se comprend. Car l’inquiétude s’est installée quand les malfaisants ont pris contact avec les dirigeants indiquant la somme demandée mais surtout présentés des captures d’écrans des données volées. Comme le rapportera l’une des personnes présente lors de cet entretien “Ils ont aussi assuré que s’ils n’étaient pas payés, tout le contenu des serveurs serait rendu public et que Bouygues Construction se ruinerait en procès.” Ambiance !!
Dans le même temps, un représentant de Bouygues dépose plainte et une enquête est ouverte par la section cybercriminalité du parquet de Paris pour « extorsion en bande organisée », « accès et maintien dans un système de traitement automatisé de données » et « entrave au fonctionnement d’un système de traitement automatisé de données ». Bref, la totale comme on dit dans le service. 

Le groupe Bouygues s’enferme dans une politique du silence. Et pour cause. Les équipes de la DSI du groupe et ceux de l’ANSII ont repéré les indicateurs de compromission concernant le Rançongiciel Maze et groupe d’attaquants TA2101. Afin de bien enfoncer le clou, dans la note technique diffusée par le CERT-FR (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques) , il est indiqué que  “les marqueurs techniques suivants sont associés en source ouverte au groupe d’attaquants TA2101 utilisant le rançongiciel Maze. Ils sont fournis au format d’export MISP et peuvent être utilisés à des fins de détection et de blocage de cette menace. Cette infrastructure réseau est utilisée depuis novembre 2019 et est active à ce jour. Toute communication depuis ou vers cette infrastructure ne constitue pas une preuve de compromission mais doit être analysée afin de lever le doute.

Si le groupe Bouygues ne dit rien, l’ANSSI est devenue une vraie pipelette. Il faut dire que tout le monde s’inquiète tant au niveau du gouvernement que du groupe. Surtout du groupe, car certains au niveau de la direction imaginent déjà que le gouvernement pourrait faire pression pour renégocier certains contrats juteux signé entre Bouygues et l’Etat. On pense à celui de 152 millions par an sur 27 ans payé par l’Etat au constructeur pour le loyer annuel du ministère de la Défense. Cela peut sembler énorme mais c’est peu compte tenu du  bâtiment. Mais c’est surtout à l’intérieur du « Pentagone » français que cela râle pas mal vis à vis de Bouygues Construction via sa filiale Sodexo. Pensez-donc, voici un endroit ou les généraux et autres képis ne peuvent rien faire ne serait-ce que pour planter un clou dans le mur, sans que cela coûte un bras. Quand on sait que certains généraux aiment afficher symboles et autres décorations permettant de voir quelles OPEX (Opérations Extérieures) ils ont effectués, on comprend qu’ils soient chagrins.  

D’où vient l’attaque ?

Avant d’aller plus loin, arrêtons nous un instant dans la chronologie des faits et intéressons-nous au ransomware Maze utilisé par les malfaiteurs. Apparu en mai 2019, ce rançongiciel est une nouvelle génération d’outils ciblant de manière précise les entreprises dans une logique de Bad Game Huntig, qu’on pourra traduire par de la chasse aux gros gibiers. Les groupes qui utilisent un tel outil peuvent soit l’acheter ou le louer à des sous-traitants, mais surtout il fait appel à des compétences techniques importantes pour ce produit qui a été utilisé par des puissances étatiques par le passé.

L’attaque contre Bouygues Constructions s’est effectué en trois temps :

  • infection des outils informatiques situés à Toronto et Vancouver par le biais d’un vers installé à partir d’un message corrompu
  • suite à cette infection au niveau du Canada, propagation sur les autres sites du groupe Bouygue dont celui de la France
  • dans le même temps extraction des données par le groupe d’attaquants TA2101 et chiffrement au niveau des serveurs

Selon nos informations tant au niveau du Canada que de la France des techniciens de Microsoft et de McAfee ont été appelé à collaborer avec la DSI du groupe Bouygues.

La semaine des « emmerdes » continue

Revenons à notre chronologie des faits. Le samedi mais surtout le dimanche, le groupe Bouygues est taiseux, malgré ses promesses faites aux collaborateurs. Lundi et mardi, l’ambiance est à l’ennuie pour les employés travaillant au siège du groupe. Rien ne fonctionne et si certains se voient déjà en vacance pour d’autres il faut se justifier quand ils se rendent tant au niveau des différents ministères que des divers clients qu’ils rencontrent. Pensez-donc, ils n’ont plus d’accès à tous ces outils décisionnaires et d’informations qu’ils ont tant l’habitude d’utiliser. Il en est de même avec les sous-traitant. Tout devient difficile. On retravaille à l’ancienne avec le carnet à spirale et le crayon de papier. 

Ce n’est que le 5 février après un silence de quatre jours, une éternité pour certains, que le groupe Bouygues Construction diffuse un communiqué de presse, sous la pression autant de certains actionnaires mais aussi de certains ministères. On peut lire que dans un “élan de solidarité venant de sociétés partenaires, de clients et de fournisseurs qui ont spontanément détaché des experts en renfort. Bouygues Construction les en remercie”. Pour ce qui concerne l’attaque elle n’est plus que virale comme je le soulignais plus haut, montrant ainsi qu’elle n’est que secondaire face aux vicissitudes que le groupe rencontre. 

Pourtant, les malfaisants ayant attaqué Bouygues osent afficher un tableau de chasse  et affirme que deux cent (200) machines, principalement des serveurs, auraient été infectées. Ils publient même des adresses iP, les pays concernés, les capacités de stockage ainsi que l’espace utilisé pour chacune d’elle. On est un peu chafouin tant au niveau de la direction générale du groupe que du DSI, car prenant enfin conscience du degré de pénétration au niveau du réseau informatique de la société. Pensez donc : montrez que la mariée est belle s’est toujours plaisant, mais montrer ses dessous surtout s’ils ne sont pas bien propre, c’est un peu gênant.

source NextImpact

Un service de l’Etat pas taiseux

Si le groupe Bouygues Construction ne dit rien, s’est du côté de l’ANSSI qu’on en apprend un peu plus. Ainsi toujours dans son rapport du 05/02/2020 qui a été mis à jour, il est écrit : « En France, la compromission par Maze d’une partie des systèmes d’information de Bouygues Construction a été détecté le 30 janvier 2020, occasionnant le chiffrement de nombreuses données. Les attaquants ont déclaré avoir demandé une rançon équivalente à dix millions de dollars, ce qui n’est pas confirmé par Bouygues. Pour l’heure, un fichier d’archive de 1.2Gb protégé par un mot de passe est présent sur le site des attaquants. Il n’est pas confirmé que cette archive corresponde réellement à des données exfiltrées du système d’information de Bouygues Construction. ». Et bien voilà nous savons tout et il aura fallu attendre le 5 février pour connaître les tenants et aboutissants de cette attaque, qui est il faut le reconnaître une première en France.

Surtout on peut se demander qui dit vrai dans cette histoire au sujet de la rançon demandée. En effet, d’un côté nous avons l’ANSSI indiquant qu’elle s’élève à dix millions de dollars (9 135 507 d’euros) tandis que le journaliste Damien Bancal du site Zataz.com assurait que son montant « n’était » que de dix millions d’euros. Nous ne sommes plus à un million prés me direz-vous, pourtant la différence ne se trouve pas tous les jours sous le sabot d’un cheval. Bref, quand on en arrive à ce niveau on ne compte plus, on regarde.

Les jours passent et progressivement les outils de communications et de travail sont de nouveaux disponibles pour les collaborateurs du groupe. On apprend via un article du journal Leparisien daté du 07/02/20 que “Les employés ont de nouveau accès aux réseaux wi-fi internes et aux téléphones fixes mais, ….ils n’ont toujours pas accès à leurs boîtes e-mail professionnelles et ont donc recours à des comptes Gmail ou Outlook externes pour communiquer”. “ Nous passons des coups de fil, nous visitons les chantiers et prenons des rendez-vous extérieurs mais c’est l’âge de pierre “ décrit un cadre.

Pourtant au niveau de la direction, on aimerait bien se cacher dans un grotte, comme à l’âge de pierre justement. En effet, 24 heures auparavant, il a été diffusé deux gros fichiers zippés contenant un peu de tout. Ainsi, on peut y lire les échanges entre une filiale du groupe et un sous-traitant asiatique, des contrats, mais aussi comme le souligne le journal LeParisien “de surprenantes photos de soirées sur une plage”. Il est reconnu que les maçons aiment le sable chaud, alors qu’ils en profitent.

Bien sûr, dans un bel élan, DSI du groupe, techniciens de l’ANSSI et autres continuent à “œuvrer” pour remettre tout en ordre et permettre ainsi que tout redevienne comme avant. Mais est-ce que ce sera le cas ?
Car du côté du groupe de BTP, on a fait rapidement les comptes. Mêmes si les clients, ouvriers mais aussi fournisseurs ont été payés, il reste quand même la crainte que des informations plus sensibles soient publiées, mettant en cause autant certains clients, mais aussi le groupe lui-même, avec comme finalité la crainte de procès ruineux et long. Alors que faire ? Payer avec la crainte que les malfaisants ne tiennent pas parole et diffusent des données sensible ou ne pas payer avec là aussi la publication d’informations.
En tout cas le gouvernement suivrait de prêt les événements et il aurait été demandé à certains services dit « extérieurs » de s’impliquer dans la recherche des malfaisants. De même, des intermédiaires missionnés par le groupe de BTP auraient pris contact avec les voleurs. La suite ? Un silence d’or !

Il est certain qu’une telle attaque sur un réseau informatique d’une telle ampleur va laisser des traces tant au niveau de l’entreprise et donc les dirigeants, mais aussi vers les autres sociétés ayant ce type d’infrastructure. Le DSI tel qu’il est compris dans sa fonction risque fort et heureusement de prendre toute sa place mais aussi surtout d’être enfin écouté. Car comme je l’ai déjà dit ici même, on ne badine pas avec la sécurité des données. Encore moins lorsqu’il s’agit de sociétés et ce quelques soit la taille, en ayant des données sensibles. De même, pour la deuxième fois en à peine un an, la structure des serveurs Windows a montré ses limites. Il risque fort que ceux-ci soient changés par un autre outil plus performant.


Pendant ce temps, la rédaction du site mychromebook publiait à un rythme soutenu…..

Google Stadia évolue encore et offre de nouveau jeux

7 février 2020 par Nicolas

Le mois de février 2020 est enfin arrivé et avec lui les quelques nouveautés que Google va nous proposer sur sa plateforme de Cloud Gaming. Ainsi, après Destiny 2, Farming Simulator, Tomb Raider ou encore Thumper, Google Stadia évolue encore …

Lire la suite…Google Stadia évolue encore et offre de nouveau jeux

Nvidia GeForce Now sur Chromebook, c’est pour 2020

6 février 2020 par Benjamin DESTREBECQ

Ce mardi 4 février 2020, la société Nvidia (constructeur bien connu de cartes graphiques, entre autres) a surpris le monde entier en lançant officiellement son service Nvidia GeForce Now, avec une version gratuite et une payante. Bonne nouvelle, une compatibilité …

Lire la suite…Nvidia GeForce Now sur Chromebook, c’est pour 2020

Contrôlez votre contenu multimédia depuis l’omnibar de Chrome

5 février 2020 par Nicolas

Google travaille énormément sur l’évolution de son navigateur web Chrome, mais également sur son système d’exploitation Chrome OS. À ce titre, nous avons déjà vu des évolutions concernant la gestion des fichiers multimédia sur Chrome OS. Ainsi, il est désormais possible …

Lire la suite…Contrôlez votre contenu multimédia depuis l’omnibar de Chrome

La mise à jour VLC beta apporte le mode image dans l’image à Chrome OS

4 février 2020 par Nicolas

La gestion du multimédia est au cœur de Chrome OS. Google nous a offert la possibilité de contrôler le son diffusé dans son navigateur Web directement depuis l’omnibar ou encore sur la page de verrouillage ou dans le menu d’état. …

Lire la suite…La mise à jour VLC beta apporte le mode image dans l’image à Chrome OS

Comment mettre à jour votre Chromebook

3 février 2020 par Nicolas

En informatique il est très important de faire les mises à jour logicielles et ce pour plusieurs raisons évidentes. Les mises à jour permettent d’obtenir de nouvelles fonctionnalités, améliorer certaines fonctions, corriger les bogues des précédentes versions, mais aussi et …

Lire la suite…Comment mettre à jour votre Chromebook

La liberté dans le coma : Essai sur l’identification électronique et les motifs de s’y opposer

2 février 2020 par Mister Robot

Chaque dimanche, nous présentons une chronique intitulée “Le livre et le chromebook“. A travers ce rendez-vous, vous découvrez un livre dont le point central est soit Google, soit aussi Google. Avec bien sûr une petite touche de chromebook. Comme une …

Lire la suite…La liberté dans le coma : Essai sur l’identification électronique et les motifs de s’y opposer

On finira avec un peu de paix et de sérénité, mais tout ceci est relatif avec Dorothy de Polo & Pan. Et oui, pourquoi pas !

Voilà c’est fini. Passez un bon week-end et n’oubliez pas….. à la semaine prochaine.


Nous vous rappelons que vous pouvez acheter sur le site différents produits vous permettant d’utiliser au mieux votre Chromebook.


Si vous avez trouvé une faute d’orthographe, informez-nous en sélectionnant le texte en question et en appuyant sur Ctrl + Entrée s’il vous plaît.

1 réflexion au sujet de « Les cyber-malfaisants çà ose tout… »

Laisser un commentaire

Rapport de faute d’orthographe

Le texte suivant sera envoyé à nos rédacteurs :