Les Anglais appellent ça un “shitstorm”. Inutile de le traduire littéralement. Disons, pour rester poli, que ce matin-là, c’est une tornade de soucis qui s’abat sur Benoît, chef de projet marketing d’une jeune entreprise bordelaise. Un projet qui capote, un manager désagréable, un client pas content, un collègue bruyant, le tout sur fond de vie sociale relativement décevante. Bref, une journée sans, tout simplement. Sous l’eau, saoulé, crevé, Benoît parcourt sans vraiment la lire – entre deux ajouts sur sa “to-do” et quelques répliques faussement enjouées aux collègues de l’open space – l’avalanche d’e-mails plus insipides les uns que les autres qui s’étale devant lui. Il en a déjà classé une bonne trentaine, il a répondu aux demandes les plus urgentes quand un courriel l’interpelle. Une convocation au tribunal. Et quoi encore ? Une facture impayée ? Un PV oublié ? Un peu inquiet, il l’ouvre et clique mécaniquement sur la pièce jointe. Une demi-seconde plus tard, c’est plié. Son doigt n’a pas ripé, il a bel et bien cliqué. Le courriel était en fait un pourriel. Un espion s’est infiltré dans les entrailles de son ordinateur. La prometteuse PME bordelaise a une faille dans sa sécurité informatique. Pourtant, en apparence, rien n’a changé. L’ordinateur ne s’est pas éteint, il n’a pas émis le moindre son, il n’a pas buggé. Benoît archive son message, sans même se douter qu’il a fait entrer un cheval de Troie à la puissance redoutable. Sans deviner les conséquences de sa négligence, ni même imaginer la capacité des hackers à repousser les frontières de l’innovation pour mieux pénétrer les Systèmes d’Informations.
Toujours connecté, toujours surveillé ?
Si cette faille s’est ouverte ce jour-là, c’est avant tout parce que Benoît a relié sa boîte mail professionnelle à sa boîte personnelle pour pouvoir répondre aux clients et aux collègues via son téléphone. Voilà ce qui arrive quand on veut à tout prix être professionnel… ou le paraître.Ce n’est pourtant pas du tout le moment de se montrer faible. 48h avant l’attaque, un article assassin est sorti dans la presse nationale. La faute au dernier produit sorti par son entreprise et à ces associations écolos qui ont hurlé au scandale. Évidemment, les médias en ont fait leurs choux gras. Qui a dit : “le bad buzz, c'est toujours du buzz” ? Après tout, l’écosystème” connaît maintenant l’entreprise et ses controverses. Mais à quel prix ?
À peine quelques heures après le clic de Benoît, les serveurs sont surchargés. Une attaque par déni de service (DDoS) massive empêche tous les collaborateurs d’accéder aux services en ligne de leur entreprise (boîtes mails, intranet, site web, cloud). Deux heures plus tard, toutes les infrastructures de la boîte sont HS. L’entreprise est paralysée, la Direction… en PLS.
“Avez-vous essayé d’éteindre puis de rallumer l’appareil ?”
Mais pourquoi tant de haine ? En réalité, plus que de haine, il s’agit d’opportunisme économique. En cliquant sur ce lien, Benoît a partagé ses identifiants de connexion et ses mots de passe à Ioan, un hacker roumain virtuose du code, amoureux du darknet et génie en… escroquerie. Un businessman, en quelque sorte ! Or, Benoît a aussi enregistré tous ses mots de passe sur un navigateur non sécurisé. Car non, la fenêtre de navigation privée n’empêche pas un pirate de repérer sa proie. Et Ioan, lui, est un pro, membre d’une organisation de hackers d’Europe de l’Est particulièrement active qui n’en est pas à son coup d’essai. Il a déjà mis à genoux un opérateur d’oléoducs américain en 2021.Alors, pour Ioan, récupérer les données de Benoît est un jeu d’enfant. Il analyse, décrypte et comprend très rapidement ce qu’il peut en tirer. Vente de prototypes aux concurrents, demande de rançons, menaces de révélation de données clients, utilisation de données bancaires… Que choisir ? C’est le jackpot pour qui sait décrypter ce magma de données. Pauvre Benoît, il n’était que l’hameçon… Sombre ironie quand on est victime de phishing, non ?
Mais revenons à son entreprise. Paralysés, les dirigeants, ceux-là mêmes qui pensaient que “le bad buzz reste du buzz”, ne savent plus par quel bout prendre le problème. 24h après le début de l’attaque DDoS, alors qu’ils enchaînent les réunions de crise dans une totale improvisation, la demande de rançon tombe : “Tous vos fichiers, vos documents, vos photos sont maintenant cryptés par nos soins. Vous ne pourrez pas les récupérer par vous-mêmes. Votre seule solution est d’acheter notre clé de décryptage. Répondez à cet email si vous acceptez nos conditions.” L’email est presque drôle tant il semble irréel. On croirait l’un de ces fameux e-mails d’arnaque faussement dramatiques, avec option fautes d'orthographe. Malgré l’absurdité de la situation, on croirait basculer dans Piège de cristal. Car la première idée qui vient à l’esprit est cette phrase qu’on entend dans tous les nanars : “on ne négocie pas avec les terroristes.” Soit, mais si c’était la seule solution ? Par crainte de mettre la clef sous la porte après la gifle médiatique, les entrepreneurs rassemblent en toute hâte comptables et juristes. 4h plus tard, croyant régler définitivement la situation, ils signent le chèque.
Quand les plombs sautent, les hackers dansent
Pour Ioan, c’est double jackpot. Car la somme versée à Bordeaux n’est que l’apéro. Une entreprise, peu importe sa taille, ne travaille jamais seule. Elle a des partenaires, y compris parfois des “grands comptes”. À quoi bon hacker une PME ? C’est une opération de billard à trois bandes. En général plus vulnérable, une PME est un marchepied facile à atteindre sur lequel les hackers prennent appui pour infiltrer les plus grands. Avec son clic innocent, Benoît a donc ouvert les vannes d’une multitude de failles chez ses clients, désormais exploitables par l’organisation malveillante. Bien que théoriquement plus armées, ces grandes entreprises ne tarderont pas à voir leurs données sensibles fuiter, les demandes de rançon débouler ou leurs infrastructures tomber, ce qui ne manquera pas de déstabiliser les marchés financiers.Le pire n’est cependant pas encore passé pour Benoît et ses boss. Le plus dur est en effet à venir : l’annonce publique, inévitable pour surmonter une crise de cette ampleur. Refusant la honte, la PME bordelaise a communiqué vite. Trop vite. En lisant entre les lignes du communiqué de presse, n’importe quel expert en cybersécurité comprend. Elle a payé. Mais, en bon gestionnaire qui sait pérenniser ses revenus, le hacker aura vrai semblablement laissé une backdoor dans le Système d’Information pour accéder aux données de l’entreprise quand il le souhaitera. Elle est donc encore vulnérable. La spirale est enclenchée : non seulement l’attaque se répétera, mais elle sera sans doute encore plus violente.
Par Cédric Minne, Modern Workplace Business Line Manager Western Europe chez Prodware