Secteur privé : les cyberattaques les plus marquantes de 2022

2022 a été l’année de la visibilité des cyberattaques. De la très médiatique attaque de Rockstar Games aux victimes d’attaques par rebond comme Toyota ou Akka Technologies, personne ne semble être épargné par les cybermenaces. Revenons sur ces attaques d’envergure d’entreprises qui ont fait la une de l’actualité.

Tour d’horizon des cyberattaques en France

Les grands groupes français ne sont pas épargnés par les cyberattaques

On pourrait croire que les groupes solidement implantés et reconnus, au budget cyber conséquent sont à l’abri des cyberattaques, mais il n’en est rien. Voici quelques exemples de grands noms français, ayant subi des cyberattaques en 2022.

Thalès, double peine

Le Groupe d’électronique français spécialisé dans l’aérospatial, la défense, la sécurité et le transport terrestre a été touché deux fois en 2022 par les cybercriminels russophones de Lockbit 3.0. Ces derniers se sont introduits dans le SI de l’entreprise en exploitant des pièces jointes d’e-mail. À chaque fois, Thalès a refusé de céder au chantage des hackeurs exigeant une rançon, entrainant la divulgation sur le net de plusieurs centaines de fichiers Zip contenant des outils internes et du code informatique.⁹

Leader, un phishing réussi et 13000 collaborateurs touchés

Le spécialiste de l’intérim a lui aussi été victime d’une cyberattaque, suite au phishing d’un collaborateur. Manque de chance, cette cyberattaque est comme souvent tombée au pire moment, puisque le cryptage des données est survenu en période de paye de 13 000 intérimaires… Cet événement aura tout de même mené Groupe Leader à une sage décision, puisque l’entreprise a depuis embauché un gestionnaire de risque, et fait depuis régulièrement appel à un RSSI en externe. ¹⁰

In Extenso mis en arrêt par un ransomware

En avril dernier, le spécialiste français de de comptabilité et fiscalité d’entreprise a été victime d’une cyberattaque conduite par un ransomware. D’après l’entreprise, aucune fuite de données n’a été constatée, mais les services du Groupe ont été temporairement paralysés, dû à la mise en arrêt volontaire de la Direction par mesure de sécurité et afin de limiter la propagation du virus. ¹¹

Les ESN, ciblées par les cyberattaques en 2022

Les ESN sont dans le viseur des cyberattaquants. Particulièrement et au même titre que les éditeurs de logiciels, elles sont la cible d’attaques par rebond, visant non seulement l’entreprise en elle-même, mais également ses clients et prestataires.

Voici quelques unes des attaques ayant visé les ESN françaises cette année.

Entrust, celui qui réussi à mettre Lockbit dans la panade

L’entreprise Entrust présente la particularité de fournir un logiciel dédié à l’authentification, utilisé par de nombreux clients. Or Lockbit, un groupe d’attaquants, a réussi à dérober les données des systèmes internes², menaçant toutes les entreprises utilisant son logiciel de divulguer leurs informations confidentielles. Pour l’anecdote, sachez que lorsque le groupe de hackeurs a commencé à divulguer ces fameuses données, le site vitrine de Lockbit a été paralysé par une attaque par déni de service (DDoS). Entrust est fortement soupçonné d’avoir joué un rôle dans cette attaque, faisant du groupe de hackeurs l’arroseur arrosé.³

ITS Group vs Play

Cette ESN spécialisée dans les sujets IT a subi une attaque avec le ransomware Play en 2022_⁴. Fort heureusement, seuls les serveurs de gestion d’ITS Group ont été affectés, et les clients prestataire et partenaires ont été épargnés.⁵

Akka Technologies, victime d’une attaque par rebond

Akka Technologies⁶, membre du Groupe Addeco a été touchée par le ransomware as a service (RaaS) BlackCat, qui se distingue par un langage de programmation hautement personnalisable, pouvant toucher entre autres les systèmes Windows et Linux. Une attaque par rebond qui a également touché les clients d’Akka Technologies. À noter, BlackCat a fait des ravages chez les ESN en 2022, touchant également l’entreprise Inetum.⁷

« Le risque de propagation rapide d’une attaque peut parfois concerner un secteur d’activité entier ou une zone géographique précise, notamment lorsque l’attaque cible une entreprise de service numérique locale ou spécialisée dans un secteur d’activité particulier. »

ANSSI, Panorama de la menace informatique 2021.⁸

Focus sur les cyberattaques ayant fait les gros titres l’international

Les grands groupes internationaux victimes de cyberattaques en 2022

Knauf, l’épée de Damoclès toujours présente

Le groupe de ransomware Black Basta a revendiqué en 2022 une cyberattaque contre la multinationale du bâtiment et des matériaux de construction. Knauf a été contraint de clore tous ses systèmes informatiques pour isoler l’attaque, entrainant de fortes perturbations sur ses sites de production à travers le monde. Quant aux malfaiteurs, ils ont révélé avoir publié plus de 20% des fichiers dérobés… ¹²

Cisco, une attaque tentaculaire

L’entreprise américaine spécialiste de l’IT et des réseaux, fournisseur de la solution d’authentification Duo, a été victime d’un hacker en lien avec les groupes Lapsus$, UNC2447 et Yanluowang. L’attaquant a accédé au compte Google personnel d’un employé de Cisco et a volé ses informations d’identification. Il a ensuite mené une série d’attaques d’hameçonnage complexes via des communications vocales et des techniques de fatigue MFA, dans le but d’obtenir un accès VPN au réseau ciblé. En compromettant l’Active Directory, le cyberattaquant a pu s’introduire de manière durable dans le réseau, en élargissant ses droits d’accès puis en cryptant et dérobant des données de l’entreprise. ¹³

Toyota et Bridgestone, victimes d’attaques par chaîne d’approvisionnement

En 2022, le célèbre constructeur japonais a été touché par plusieurs cyberattaques, dont une paralysant un tiers de sa production mondiale. C’est en réalité l’un de ses principaux fournisseurs qui a été touché en premier, via une défaillance dans le système informatique, ayant permis aux hackeurs de l’infiltrer. Encore une fois, cette cyberattaque est un triste exemple d’une attaque par chaîne d’approvisionnement réussie. Parmi les grands groupes nippons ayant subi une cyberattaque d’envergure en 2022, on pourrait également citer Bridgestone, qui s’est lui aussi fait attaquer par le biais d’un fournisseur. ¹⁴

Metro : le SI pris en otage

Le grossiste alimentaire Metro Group a été victime en octobre 2022 d’une attaque DDoS, entrainant une panne informatique pendant plusieurs jours, ralentissant l’activité de l’ensemble de ses magasins. En effet, les pirates ont tout bonnement pris en otage les systèmes informatiques du grossiste. Par conséquent, les professionnels de la restauration dépendant du Groupe ont connu d’importantes difficultés à s’approvisionner. On ignore si des données ont été divulguées, ou si une rançon a été versée. ¹⁵

Cyberattaque par rebond : le cas Okta

En 2022, une attaque a été menée contre Okta, la célèbre entreprise américaine spécialiste de la gestion des identités et des accès.

• Les accès obtenus par Lapsus$

En mars dernier, le groupe de hackers Lapsus$ a publié des captures d’écran indiquant qu’il contrôlait Okta et avait accès aux données des utilisateurs qui stockaient leurs accès sur cette interface de connexion unique. Les cybermalfaiteurs ont tenu à préciser qu’ils s’intéressaient uniquement aux clients d’Okta, comme c’est généralement le cas lors d’une attaque par rebond.

Une mission réussie, puisque les pirates de Lapsus$ ont déclaré avoir accès à un portail de super-utilisateurs leur permettant de réinitialiser le mot de passe et l’authentification multifactorielle de 95 % des clients… Du côté d’Okta, les informations sont plus optimistes, l’entreprise ayant déclaré que « seuls » 366 comptes de ses clients avaient été compromis. ¹⁶

• Ce que l’enquête a révélé

Après enquête, toute cette affaire serait partie de l’intrusion d’un hackeur sur le poste de travail d’un employé de la société Sitel. L’intrusion aurait été faite via une passerelle VPN sur un ancien système réseau appartenant à Sykes, une société de service client travaillant pour Okta que Sitel a racheté en 2021. Dans le cadre de cette compromission, les pirates ont pu accéder à un tableur contenant des mots de passe de comptes administrateurs de domaines compilés dans un fichier par un salarié depuis le gestionnaire de mots de passe LastPass.

Quelques heures plus tard, le groupe Lapsus$ a été en mesure de créer un nouveau compte utilisateur Sykes et l’ajouter à un groupe d’admin ayant un accès élargi au réseau Sitel de façon à y injecter une backdoor. ¹⁷

Uber et Rockstar Games, deux géants victimes d’un adolescent

Double piratage, l’année noire d’Uber

Tous les OTP ne se valent pas, et ce n’est pas Uber qui dira le contraire !

Le leader du VTC a été victime d’un piratage massif cette année, l’ayant poussé à mettre hors ligne pendant plusieurs heures une bonne partie de ses systèmes informatiques.  Cet incident serait parti d’un sous-traitant dont le compte aurait été compromis par un hackeur après l’achat de ses données sur le darknet. Un logiciel malveillant a été installé sur l’ordinateur du sous-traitant, puis le cybermalfaiteur a tenté de se connecter à son compte Uber à plusieurs reprises, jusqu’à ce que, lassé, le sous-traitant valide le second facteur push pour stopper le spamming… Le hackeur a ensuite pu accéder à plusieurs autres comptes d’employés et compromettre des applications utilisées par l’entreprise comme Slack, ou des logiciels de facturation. ¹⁸

Comme si ce hack ne suffisait pas, Uber a déclaré en décembre 2022 enquêter sur un nouvel incident impliquant le piratage d’un partenaire. Celui-ci aurait conduit à une violation des données de l’entreprise, avec la fuite de plus de 77 000 adresses électroniques d’employés, ainsi que d’autres informations, notamment le code source présumé de la plateforme de gestion des appareils mobiles utilisée par Uber et Uber Eats…¹⁹

Rockstar Games et la société Uber sont en étroite collaboration avec le FBI et le ministère américain de la Justice concernent le piratage qu'ils ont été victimes.

Selon Uber, il s'agit du même groupe de hacker connu sous le nom de Lapsus$ qui n'est pas à son premier coup. pic.twitter.com/9vXZhCrxKb

— Rockstar Actu (@Rockstar_Actu) September 19, 2022

Rockstar games, une attaque médiatique et historique

Dans le cas de Rockstar Games, l’éditeur de Grand Theft Auto, on parle tout bonnement de la plus grosse fuite de l’histoire du jeu vidéo.

Le cybercriminel s’est introduit dans les serveurs de la société Rockstar Games via la messagerie instantanée Slack et le logiciel de travail collaboratif Wiki Confluence. A travers un code d’accès utilisateur, le hackeur a pu rentrer dans le serveur et télécharger près de 90 millions de données et du code source de GTA 6. En quelques minutes, des images que les créateurs du jeu gardaient secrètes depuis près de 5 ans ont été divulguées sur le net, avant de mettre en vente sur le web le reste des données volées. ²⁰

Fun fact : L’auteur de ces deux piratages qui ont fait tant de bruit serait un adolescent britannique de 17 ans, présumé membre du groupe Lapsus$. 21

Cet article vous a plu ? Retrouvez notre tour d’horizon des cyberattaques de 2022, à l’encontre d’acteurs du secteur public.

Malheureusement, 2022 a été une année riche en cyberattaques, et malgré les investissements des entreprises pour se prémunir des cyberattaques, la tendance ne semble pas s’inverser.

Notre conseil : en entreprise, la sécurité des SaaS et services clouds dépend de la sécurité de l’authentification, et de l’usage qui en est fait. Cela peut paraître évident, mais l’activation du 2FA n’est plus une option. Et bien évidemment, il ne faut JAMAIS partager des données sensibles comme des mots de passe sur des messageries internes ou des applications de travail en équipe.