De la Bretagne au Luberon, la France toujours sous le feu des ransomwares

France ransomwares novembre 2021

Emballage, agroalimentaire, collectivité territoriale… La diversité des profils reste de mise chez les dernières victimes françaises de ransomwares.

Combien la communauté de communes Pays d’Apt-Luberon a-t-elle dépensé en masques anti-Covid ? Des éléments de réponse ont filtré à son insu. Et pas n’importe où : sur le « site vitrine » du ransomware Conti.

La collectivité y a une entrée à son nom depuis le 12 novembre. Au menu, environ 4 Go de données. Aussi bien des courriers que des documents d’assurance ou des certificats administratifs… dont l’un fait état des montants refacturés aux communes pour les masques de l’année 2020.

La communauté de communes s’était officialisée victime le 28 octobre. Soit un peu moins d’une semaine après l’incident. Elle n’avait pas caché l’origine de l’attaque.

Deux autres représentants français sont venus allonger, en novembre, la liste des victimes revendiquées de Conti.
D’un côté, le groupe agroalimentaire breton Jean Floc’h (1800 collaborateurs, 600 M€ de C. A.). Aux dernières nouvelles, n’a été publiée qu’une petite partie des données qu’on lui a dérobées.
De l’autre, le traiteur parisien Dalloyau (placé en procédure de sauvegarde voilà bientôt un an). Les informations qu’on lui a exfiltrées semblent couvrir une période de plus de dix ans (on trouve par exemple un budget 2010 et une déclaration d’accident de travail de 2021).

Conti – Grief : le duo à surveiller ?

Depuis le début de l’automne, un autre ransomware a multiplié les revendications de victimes françaises : Grief. En octobre, il y avait notamment eu le transporteur breton Fauveder, le concessionnaire francilien Carwest et la PME marnaise C&C France, dont la marque phare est Champagne Thiénot.

Voilà un peu plus de deux semaines s’y est ajouté GPV France. Ce fabricant d’enveloppes et d’emballages légers basé en Alsace fait partie du groupe allemand Mayer Kuivert. Il annonce un chiffre d’affaires annuel de 326,5 M€ et un effectif de 1700 salariés, même si son activité en France se réduit. Les documents publiés (5 fichiers zip dont un nommé « base clients ») s’accompagnent d’une liste de machines. Elle laisse apparaître un parc hétérogène côté client : 123 postes sous Windows 7 ; 118 sous Windows 10 ; 73 sous Windows XP, etc. Et dans une moindre mesure côté serveur, où l’empreinte de Windows Server 2008 R2 est importante.

Une autre PME alsacienne était tombée dans les filets d’un ransomware en octobre : Fugybat (BTP), victime de LockBit. Ce dernier a aussi touché Sides (Loire-Atlantique ; véhicules de lutte contre l’incendie), IDLINE (Charente ; externalisation SI) et la commune de Saint-Affrique (Aveyron).

À consulter en complément :

« La France a-t-elle les moyens de mesurer la menace ransomware ? » (29 novembre 2021)

« Ransomware : l’essor de la cybercriminalité en tant que service » (26 novembre)

« Ransomwares : les payeurs dans le viseur du législateur américain » (6 octobre)

« Solware : une com’ ouverte face au ransomware Conti » (19 septembre)

Photo d’illustration © Lwzphoto – Adobe Stock