Orange victime d’un ransomware : des clients pros touchés

Clément Bohic,
Orange Business Services Nefilim ransomware

Orange déplore de potentiels accès indésirables aux données d’une vingtaine de clients professionnels. En cause, un ransomware qui semble être Nefilim.

Pas de communiqué, mais une confirmation par voie de presse. Ainsi Orange a-t-il décidé de se déclarer victime d’un ransomware.

Selon toute vraisemblance, ce ransomware, c’est Nefilim. Ses premières traces remontent à fin février. Il s’agit d’un dérivé de JSWorm, lancé début 2019 et depuis lors rebaptisé Nemty.

Le groupe télécoms affirme que l’attaque a touché sa division Orange Business Services, dans la nuit du 4 au 5 juillet derniers. Elle aurait exposé les données d’une vingtaine de clients de l’offre « Forfait informatique ». Laquelle consiste en des « postes de travail virtualisés pour les PME » sur la base des technologies Microsoft.

Dans l'absolu, la communication ne fait aucune mention de Nefilim - simplement d'un « cryptovirus ». Mais il subsiste peu de doute si on considère la liste officielle de victimes (accessible sur un site du réseau Tor). Les exploitants du ransomware y ont ajouté Orange ce 15 juillet. Et, en parallèle, une archive de 339 Mo qui contient, entre autres, des fichiers du constructeur aéronautique ATR Aircraft.

Vraisemblablement distribué par l'intermédiaire de connexions RDP mal sécurisées, Nefilim emploi un chiffrement d'enveloppe. Il chiffre les fichiers avec une clé AES-128 elle-même chiffrée avec une clé RSA-2048 intégrée dans le code du ransomware.
Deux éléments principaux le différencient de Nemty. D'une part, le paiement se fait par mail et non pas par l'intermédiaire d'un portail Tor. De l'autre, il n'a jamais été commercialisé sur le modèle « as a service » (c'est-à-dire ouvert à tout public).

Photo d'illustration © Orange