Ransomware : où en sont Umanis et les collectivités du Val-de-Marne ?

Vincennes, Alfortville et l’ESN Umanis ont toutes trois subi, ce mois-ci, une cyberattaque impliquant probablement un ransomware. Elles en subissent encore, à divers degrés, le contrecoup.

À quand le « communiqué 2 » chez Umanis ?

Voilà près de dix jours que l’ESN a déclaré avoir subi une cyberattaque. Au CP qui en rend compte, elle avait ajouté la mention « Communiqué 1 », laissant entrevoir une suite. Mais depuis lors, c’est silence radio.

Les choses ont en revanche évolué de l’autre côté du miroir. En l’occurrence, chez les assaillants supposés. Umanis figure désormais sur la liste officielle des victimes revendiquées du ransomware Netwalker.

À l’heure où nous écrivons ces lignes, le compte à rebours implique la révélation de données dans un peu moins de deux semaines. Les captures d’écran adjointes montrent quelques dizaines de dossiers. Leurs dates de création vont du 11 mai 2015 au 13 novembre 2020 – soit la veille de l’incident. Certains des dossiers les plus récents sont au nom de clients. Parmi eux, Toucan Toco, dont les projets avec Umanis font actuellement l’objet d’une communication sur les réseaux sociaux de l’ESN.

[#Webinar] 💡 Redonnez de l’#attractivité et du sens à votre politique #RH avec @Toucan_Toco !

BSI, Bilan social, ou pilotage, quels sont les leviers fondamentaux d’une #digitalisation réussie ?
Lire aussi : Ransomware chez Umanis : vers un scénario « à la MMA » ?

Inscription ici 👇https://t.co/4jPN2dK499 pic.twitter.com/TxpopN1fa1

— UMANIS (@Umanis_On_Air) November 13, 2020

Deux images complètent les captures d'écran. Elles consistent respectivement en un contrat de travail pour un ingénieur et en un passeport biométrique algérien (partiellement masqué).

Alfortville et Vincennes en mode dégradé

Parmi les entités vraisemblablement victimes de ransomwares ces dernières semaines, il y a aussi deux villes du Val-de-Marne : Vincennes et Alfortville. L'une et l'autre ont mis en place une page web qu'elles sont censées tenir à jour en fonction du rétablissement des services municipaux affectés.

Celle de Vincennes fait état d'un retour à la normale le 4 novembre pour le standard téléphonique de l'accueil unique (mairie). C'est-à-dire un peu plus de 24 heures après l'incident. Il en est de même depuis le 6 novembre pour le Compte citoyen. Les problèmes de synchronisation entre l'espace famille et les systèmes des services municipaux semblent par contre persister.

Lire aussi : Ransomware : Equinix touché-coulé par NetWalker ?

Du côté d'Alfortville, le standard de la mairie « fonctionne, mais de façon non optimale », déplore-t-on. Notamment au niveau de l'accès à l'annuaire. Tout n'est pas non plus parfait sur le portail monalfortville.fr (les demandes faites via la plate-forme « peuvent ne pas parvenir aux services concernés »).

Alfortville avait ouvert la communication le 6 novembre, prétendument au surlendemain de l'attaque. Comme à Vincennes, aucune évocation d'un quelconque ransomware. Mais comme pour Umanis, ça s'agite du côté des cybercriminels. Plus précisément sur le « site vitrine » de Ranzy Locker. Celui-ci a peu fait parler de lui, en tout cas par rapport à NetWalker. Ses autres victimes affichées se comptent au nombre de... deux. Ce sont des PME péruvienne (secteur de la finance) et américaine (énergie).

Dans ce contexte, l'Association des maires de France vient de publier un guide à la rédaction duquel l'ANSSI s'est associée. On y apprend notamment qu'en 2019, l'agence a recensé 92 incidents de sécurité d'origine cyber affectant les communes et les intercommunalités. Et que 9 d'entre eux ont impliqué un ransomware.

#Cybersécurité : toutes les communes et intercommunalités sont concernées #Collterr https://t.co/Nb1VLAypFm pic.twitter.com/EQgZLelHrM

— AMF | maires de France (@l_amf) November 20, 2020

Lire aussi : NetWalker : ce ransomware qui sévit en France