Alors que Bouygues Construction a été touché jeudi par une vaste cyberattaque qui a affecté son réseau informatique, une rançon importante aurait été demandée et des données volées. Au point de se demander si le géant français du BTP n’aurait pas été victime d’une attaque Big Game Hunting.
Selon Le Parisien, cette attaque a touché le siège social de l’entreprise dans les Yvelines et tous ses services informatiques. Les employés à l’étranger du groupe se sont, eux, retrouvés au chômage technique, faute d’accès à leur courriel professionnel, ajoute le quotidien. Le groupe compte presque 57 000 collaborateurs.
Ce vendredi, le groupe a indiqué dans un communiqué être toujours frappé par la cyberattaque et avoir mis à l’arrêt son informatique pour « éviter toute propagation ». « Les équipements sont progressivement remis en service après avoir été testés », indique Bouygues Construction qui précise que « l’activité opérationnelle des chantiers n’est pas perturbée à ce jour. » La société précise qu’elle fera un nouveau point en début de semaine prochaine. Une enquête judiciaire a été ouverte pour « extorsion en bande organisée« ,
« accès et maintien dans un système de traitement automatisé de données » et
« entrave au fonctionnement d’un système de traitement automatisé de données« ,
indique ce vendredi l’AFP.
200 Go de données auraient été piratées et une rançon de 10 millions d’euros demandée selon Zataz. Les pirates auraient utilisé pour compromettre le SI le ransomware Maze. 
L’ANSSI, qui a tout juste diffusé à l’occasion du dernier Forum International de la Cybersécurité (FIC) un rapport sur l’état des rançongiciels en France, s’inquiète de l’augmentation de ces ransomwares : « Sur les très nombreuses attaques de ce type en France, l’ANSSI a traité 69 incidents en 2019 sur son périmètre ». Le rapport se concentre sur les rançongiciels s’appuyant sur des capacités de chiffrement de fichiers et opérés à des fins lucratives, dont Maze justement, capable à la fois d’attaques massives et d’attaques ciblées.
Bouygues Construction, spécifiquement ciblé par une attaque Big Game Hunting ?
« L’ANSSI et ses partenaires observent depuis 2018 de plus en plus de groupes cybercriminels cibler spécifiquement des entreprises financièrement robustes dans le cadre d’attaques dites «Big Game Hunting», parfois menées en combinaison avec d’autres codes malveillants (cryptomineurs, trojan bancaires). Le rapport précise : « Elles sont réalisées par des groupes d’attaquants aux ressources financières et aux compétences techniques importantes, et présentent un niveau de sophistication parfois équivalent aux opérations d’espionnages informatiques opérées par des États. Alors que les montants de rançons habituels s’élèvent à quelques centaines ou milliers de dollars, celles demandées lors des attaques Big Game Hunting sont à la mesure de la cible et peuvent atteindre des dizaines de millions de dollars. »
Des données exfiltrées pour exercer une pression supplémentaire ?
« Depuis fin 2019, l’ANSSI constate également que certains groupes cybercriminels cherchent à faire pression sur leurs victimes en divulguant des données internes préalablement exfiltrées du système d’information infecté. » Certains groupes d’attaquants se servent ensuite de la divulgation de ces données pour exercer une pression supplémentaire sur les victimes et les inciter à payer la rançon. « Des victimes des rançongiciels Maze et Sodinokibi ont vu certaines de leurs données divulguées dans ce cadre », indique le rapport.
Dans l’annexe du rapport, l’ANSSI indique que ce ransomwareMaze a le plus fort impact potentiel sur les entreprises et institutions, en raison « des forts montants combinés au risque de divulgation de données internes. » L’ANSSI donne l’exemple de l’entreprise américaine Southwire (un important fabricant de câbles), exactement dans ce cas de figure, compromise avec Maze en décembre 2019.
