Le ministère de l’Éducation nationale a subi une cyberattaque d’une grande ampleur. Revendiquée par Stormous, un collectif pro-russe peu connu jusqu’alors, l’attaque a volé plus de 40 000 identifiants de personnels et étudiants.
Qui est Stormous ?
Stormous est un groupe cybercriminel pro-russe qui ne cache pas son soutien au Kremlin. Il utilise un modèle hybride entre idéologie géopolitique et cybercriminalité et cible des institutions françaises dans une logique de déstabilisation. L’attaque a donc une double portée : criminelle et politique. Ce type d’attaque à double enjeu ne cesse de croître et d’inquiéter. Les risques encourus sont, mis à part le phishing ciblé avec les données volées, des sanctions RGPD potentielles ainsi qu’une perte de confiance des agents publics.
Les attaquants n’en sont pas à leur premier essai. Ils ont déjà mené des campagnes contre d’autres ministères, des collectivités et des grandes entreprises comme Coca-Cola et Epic Games. Leurs cibles sont toutes porteuses d’un fort symbole politique et/ou économique.
Les méthodes employées
Les menaces visent le vol de propriété intellectuelle, l’exploitation de vulnérabilités cloud et les infiltrations discrètes des systèmes. Les criminels se sont introduits grâce au hameçonnage en profitant de services mal configurés. L’attaque fonctionne en mode ransomware-as-a-service (RaaS) et la plateforme utilisée est STMX_GhostLocker. Leur stratégie est une double extorsion puisqu’elle comprend d’une part le vol et d’autre part le chantage à la publication.
Stormous reste hors d’atteinte pour le moment. Le groupe opère en dehors de l’Union européenne sur une plateforme de fuite de données mise à jour régulièrement et communique avec la messagerie chiffrée Telegram.
