Capgemini a été la cible d’une attaque de type ransomware. Des fichiers essentiels ont été cryptés et volés par un mystérieux cybercriminel. Des mois après l’incident, une enquête a révélé l’identité du pirate.
Mis à jour le 19 juillet à 11h15 :
Dans un communiqué transmis à 01Net, Capgemini indique que l’employé suspecté du piratage a été licencié peu après les faits :
« Début octobre, nos équipes ont très rapidement détecté cette tentative d’attaque isolée sur un serveur de test et l’ont immédiatement déjouée. Aucune suite n’a été donnée à la demande de rançon et aucune donnée n’a été exfiltrée. L’ancien salarié à l’origine de cette attaque avortée a été très rapidement identifié et licencié. Malgré l’absence d’impact sur nos activités, Capgemini a déposé une plainte pénale en octobre dans le but d’alerter les autorités sur un profil qui paraissait dangereux. Le temps écoulé depuis est dû aux opérations menées dans le cadre de l’instruction judiciaire de cette affaire. »
__________________________________________________________________________
En octobre dernier, Capgemini, une entreprise française spécialisée dans le conseil, les services technologiques et l’ingénierie numérique, a été victime d’un ransomware. Comme le rapportent nos confrères du Parisien, le malware a informations sensibles cryptées stockées sur les serveurs du groupe. Les données concernaient les travaux du cabinet pour l’un de ses clients.
A lire aussi : Des millions d’utilisateurs de logiciels espions touchés par une fuite massive de données
Knight, le ransomware à l’origine de la cyberattaque
Pour récupérer l’accès à ces informations, Capgemini a été prié de payer une rançon. Dans un message adressé à l’entreprise, le mystérieux cybercriminel exige de collecter 5 000 $ en Bitcoin. Si la demande est refusée, le pirate menace de revendre toutes les données exfiltrées. Il s’agit donc d’une double attaque d’extorsion. En plus de chiffrer les données, les pirates volent les informations et menacent de les publier sur des marchés noirs dédiés aux cybercriminels sur le dark web.
L’attaque a été orchestrée à l’aideun ransomware bien connuBaptisé Knight, il est apparu à l’été 2023 comme une évolution du virus Cyclops et est proposé via un abonnement de type ransomware-as-a-service (RAAS). En clair, les cybercriminels en herbe peuvent utiliser le malware en payant un abonnement. C’est pourquoi Capgemini était convaincu que le cybercriminel à l’origine de l’attaque était un membre affilié du réseau Knight. Les indices laissaient même penser qu’il s’agissait d’un hacker venu de Russie.
Quoi qu’il en soit, Capgemini n’a pas accepté de suivre les ordres des assaillants. La firme française affirme qu’elle a rapidement « a déjoué cette tentative d’attaque isolée ». Aucune donnée n’aurait pu être volée. Peu de temps après, le géant informatique a déposé plainte. Et c’est là que l’affaire prend une tournure inattendue.
L’ennemi vient de l’intérieur
Les enquêteurs de la brigade de cybercriminalité de la préfecture de police ont réussi à retracer l’identité du pirate informatique en l’espace de quelques mois. La tentative d’extorsion n’a pas été montée par un obscur criminel russe… mais par un employé de Capgemini. Salarié de l’entreprise depuis fin 2021, le jeune homme de 26 ans occupait le poste de « consultant technique ».
Selon l’enquête de la police, l’ingénieur, qui travaillait sur un programme de navigation par satellite pour Capgemini, a trouvé le malware Knight sur le Web. En utilisant un ransomware connu, il espérait tromper son employeur et la policeLe hacker a été interpellé à son domicile de Toulouse en mai 2024. Soupçonné d’extorsion en bande organisée, il reste en détention le temps que l’enquête se poursuive.
Ce n’est pas la première fois qu’une entreprise est victime d’une arnaque de la part d’un de ses employés. Dans la plupart des cas, l’employé se contente de voler des données personnelles ou aide les pirates à exfiltrer des informations sensibles. Il est assez rare qu’un employé se fasse passer pour un spécialiste de l’extorsion.
🔴 Pour ne rien manquer de l’actualité de 01net, suivez-nous sur Google News et WhatsApp.
Source :
Le Parisien