Pas de trêve pour les pirates sur le front des cyberattaques. Un groupe de hackers revendique depuis 48 heures avoir mené une cyberattaque de type « ransomware » contre l'ensemble du système informatique de l'Agence nationale pour la formation professionnelle des adultes (Afpa).

Très populaire depuis le début de l'année, une attaque par ransomware (ou rançongiciel) implique de s'introduire dans un premier temps au cœur d'un système informatique pour dérober tout ce qui est stocké sur les serveurs et les ordinateurs du réseau. Il s'agit ensuite de lancer à distance un programme malveillant qui paralyse l'accès à ces fichiers en les chiffrant avec une clé dont seul l'attaquant a le secret.

Des serveurs chiffrés, des données dérobées

Contactée par le Parisien, l'Afpa confirme ce lundi « un incident de sécurité dans la nuit du 7 au 8 mars dernier qui n'a pas perturbé longtemps le fonctionnement de nos services ».

Voici pour la version officielle… mais de sérieux doutes subsistent sur l'ampleur et la durée de l'attaque.

Par une publication sur le réseau Internet parallèle Tor, les cybercriminels - qui opèrent le rançongiciel DoppelPaymer - se sont vantés ces derniers jours de leurs « trophées de chasse » : la liste détaillée des 65076 machines (serveurs et postes de travail) auxquelles ils auraient eu accès.

L'Afpa ne reconnaît, de son côté, que trois postes de travail et une centaine de serveurs qui ont été ainsi chiffrés par le logiciel malveillant mais qu'une restauration d'une sauvegarde antérieure a permis d'éviter toute perte définitive de données.

Le programme qui paralyse les machines infectées n'aurait, selon une source interne, pas fonctionné sur le reste de son parc de 1500 serveurs grâce à des antivirus à jour.

Pas de demande de rançon envoyée

Les hackers ont quand même réussi à se servir car ils ont aussi posté en ligne des exemples de fichiers subtilisés. Un moyen habituel de faire pression sur la victime.

Newsletter - L'essentiel de l'actu Chaque matin, l'actualité vue par Le Parisien Chaque matin, l'actualité vue par Le Parisien Votre adresse mail est collectée par Le Parisien pour vous permettre de recevoir nos actualités et offres commerciales. En savoir plus

Objectif : préparer une demande de rançon en bitcoin pour libérer ces contenus ou plutôt ne pas les diffuser.

« Ils n'ont récupéré que des documents Excel dont toutes les informations sont publiques. Il n'y a aucune donnée sensible à monnayer et l'Afpa n'a de toute façon pas d'argent », assure un dirigeant de l'agence. Il affirme aussi que les accès depuis l'extérieur non autorisés ont été rapidement coupés.

Sauf qu'en regardant dans le détail, les dernières preuves publiées par les pirates remontent… au 16 avril dernier.

L'échantillon de fichiers publiés, que nous avons consulté, montre d'importantes données des entreprises et des collectivités partenaires de l'Afpa. Autant d'informations qui sont, elles, exploitables par des esprits mal intentionnés.

Factures, numéros de téléphone, mails, contrats…

On y trouve des factures, des numéros de téléphone et des adresses e-mails, des contrats et même les plannings de vacances des employés d'une PME.

De nombreuses entreprises comme le géant du BTP Bouygues ou Vissor, un fournisseur américain de Boeing et Tesla, ont été récemment victimes d'une telle opération d'extorsion.

Les cybercriminels n'ont pas encore formulé de rançon auprès de l'établissement public, selon nos informations.

Comme le veut la législation, la Cnil a été prévenue de cette intrusion et de la fuite de données, tout comme l'Anssi et le ministère du Travail dont dépend l'Afpa.