L'opérateur de rançongiciel Maze menace de publier des données clients de Chubb, une entreprise spécialisée dans la gestion des fuites de données. Un comble. De son côté, Chubb affirme que la fuite provient d'un de ses fournisseurs extérieurs, et non de son réseau informatique.

Même les spécialistes des fuites de données peuvent en être victime L’assureur Chubb, habitué à venir en aide aux victimes, se trouve cette fois dans la position de ses assurés, rapporte Techcrunch.

Les opérateurs du rançongiciel Maze ont publié sur leur blog une mise en garde à l’attention de l’entreprise. Ils avancent qu’ils ont chiffré des données sur le réseau de Chubb au début du mois de mars 2020. Ils menacent de publier les preuves sur leur blog si l’entreprise ne paie pas la rançon.

Chubb assiste ses clients dans la gestion de crise liés aux cyberattaques. Elle couvre une partie des dommages financiers liés à la perte de données. Elle propose aussi différents accompagnements techniques, légaux, et elle peut prendre en charge la communication de l’entreprise victime. Autant dire qu’elle a normalement toutes les expertises nécessaires pour gérer sa propre fuite.

Fuite de données et rançongiciel

Maze est un de ces nouveaux gangs qui font évoluer les pratiques des rançongiciels. Cet opérateur ne se contente pas de chiffrer les données, il les copie au préalable. Il dispose ainsi d’un second levier pour sa manœuvre de chantage : de la même manière que des preneurs d’otages menaceraient de couper un bout de doigt de leurs victimes pour accélérer la remise de rançon, les cyberdélinquants menacent de diffuser publiquement une part de plus en plus importante des données de l’entreprise.

L’entreprise se confronte alors à un problème double. Les rançongiciels vont chiffrer les données et ainsi rendre inutilisables toutes sortes d’appareils et de services informatisés. Mais même si la production de l’entreprise peut être gravement ralentie, il lui suffit de rétablir ses sauvegardes les plus récentes pour reprendre un rythme normal. Cette procédure peut être laborieuse et coûteuse en fonction de la résilience de l’infrastructure informatique, mais les clients dont les données sont chiffrées ne sont pas affectés.

Double problème pour l’entreprise victime

En revanche, avec mise en ligne des données clients, protégées par des textes de loi comme le Règlement général sur la protection des données, l’entreprise victime doit faire face à tout un éventail de nouveaux problèmes. Le rançongiciel se double alors d’une fuite de données, un événement qui nécessite de notifier les régulateurs comme la Cnil ainsi que les clients concernés. Dans certains cas, les clients peuvent ensuite poursuivre l’entreprise victime en justice, ce qui lui causera des dommages financiers et dégradera sa réputation.

Pour organiser les fuites de données, Maze a tout simplement créé un blog. L’organisation y indique sobrement quelle entreprise est touchée, le type d’attaque, et met progressivement les données volées — les « preuves » — en ligne. Dans le cas de Chubb, l’espace « preuves » où seront exposées les données est pour l’instant vide.

Chubb nie toute responsabilité directe

Chubb prétend dans le Bleeping Computer que l’incident n’est pas lié à une intrusion sur son réseau ; « Nous enquêtons actuellement sur un incident de sécurité du système informatique, peut-être lié à un accès non autorisé à des données en possession d’un fournisseur tiers. Nous n’avons aucune preuve que l’incident a affecté le réseau de Chubb. »

La détection de l’attaque par l’entreprise est cependant loin d’être un critère infaillible, même si nous pouvons supposer qu’une entreprise de cybersécurité aura des protocoles de détection et de mitigation des attaques largement supérieures à la moyenne. Même si la fuite vient d’un parti tiers, c’est bien Chubb qui a recueilli les données de la part de ses clients. Dans le cadre du RGPD (et d’autres textes de loi similaires), elle serait tout de même responsable de la fuite, aux côtés de tous les acteurs concernés.

Malgré ce qu’il avance, Chubb n’est pas exempt de tout reproche. L’entreprise de cybersécurité Bad Packets a identifié que l’assureur avait cinq serveurs Citrix vulnérables à une attaque régulièrement utilisée pour pirater des réseaux et installer des rançongiciels. Alors même que Bad Packets n’a fait qu’un scan du système.

Our initial CVE-2019-19781 scans found five vulnerable Chubb Citrix (NetScaler) servers :

sf-masterpoc.chubb[.]com

sf-xaa.chubb[.]com

vdi.chubblatinamerica[.]com

74.120.45.203 (no forward DNS)

74.120.45.238 (no forward DNS) https://t.co/LFwjWBMoG8 — Bad Packets (@bad_packets) March 26, 2020

La menace Maze est tellement importante, que le FBI lui avait dédié un rapport de prévention en décembre. En France, le rançongiciel fait régulièrement des victimes, parfois de très grosse taille comme Bouygues construction.

Article publié initialement le 27 march 2020

Crédit photo de la une : The Digital Artist - Pixabay À propos d'ExpressVPN ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché. Plus d’informations sur la solution VPN d'ExpressVPN