Paris Habitat : L’incident technique était bien un ransomware

Paris Habitat : L’incident technique était bien un ransomware

Après pas loin de trois semaines de silence radio, Paris Habitat donne des précisions sur la cyberattaque qui a paralysé ses services. Comme l’avaient évoqué le MagIT et plusieurs sources internes, c’est bien un ransomware qui a touché les services informatiques du bailleur social parisien. « L’attaque a eu lieu le 27 octobre au soir et a été détectée le 28 au matin par nos systèmes informatiques », nous explique Marie Godard, directrice adjointe chez Paris Habitat. « On pense que le vecteur d’intrusion était une attaque de phishing mais nos investigations ne sont pas encore terminées sur ce point. Le groupe à l’origine de l’attaque a été identifié en revanche, il s’agit de Sodinokibi. »

Il y a donc eu une demande de rançon, mais Marie Godard explique que « la question ne s’est pas posée. On s’est rendu compte que nous avions des sauvegardes saines datant du mardi 27 octobre, ce qui nous a évité d’avoir à envisager de payer la rançon ». Paris Habitat assure qu’il n’y a pas eu de perte ni de vol de données. 15 jours après l’attaque initiale, Sodinokibi n’a en effet pas publié de données sur son site concernant Paris Habitat, ce qui laisse penser que les données des utilisateurs n’ont effectivement pas été dérobées.

Afin de contenir l’attaque, la direction a choisi de couper l’intégralité de son système informatique dès mercredi, avant une remise en marche progressive des systèmes à partir de vendredi. « Nous avons immédiatement averti nos partenaires directs de la situation », précise la directrice adjointe. Paris Habitat est en effet hébergé dans un datacenter de la Mairie de Paris, qui héberge également l’AP-HP et Eau de Paris. Mais le « cloisonnement mis en place entre les différents SI a permis de limiter les risques de propagation », assure Marie Godard.

publicité

En reconstruction

La continuité du service a été assurée en s’appuyant sur le réseau des gardiens d’immeubles de Paris Habitat : la page d’accueil du site renvoyait ainsi les locataires vers leur gardien ou vers un numéro de téléphone unique qui permettait d’obtenir des informations. Un site internet a également été monté à destination des employés, afin de leur transmettre des informations sur la remise en marche des systèmes et sur les mesures à mettre en œuvre pour le confinement. L’attaque ayant été déclarée quelques jours avant l’annonce du reconfinement, il valait mieux faire d’une pierre deux coups. « La problématique maintenant, c’est de restaurer en s’assurant que tout est fiable », explique la directrice adjointe, qui précise que le groupe travaille avec Frame IP pour la remise en fonctionnement des systèmes.

« On doit s’assurer que l’ensemble des données sont saines et que les machines des employés le sont aussi. » Au total, plus de 1 500 ordinateurs portables doivent donc être passés au crible pour s’assurer qu’ils ne sont pas compromis. Plus de 1 200 appareils l’ont déjà été, selon la directrice adjointe. Elle explique que les services sont progressivement remis en marche, le site devrait être de nouveau en ligne « d’ici la fin de la semaine ». Le groupe a déposé plainte et la BEFTI et l’OCLCTIC sont chargés de l’enquête. Un signalement a également été fait auprès de la CNIL. Paris Habitat explique aussi avoir averti l’Anssi de l’attaque.

Sodinokibi, ou Revil, désigne un groupe cybercriminel particulièrement actif spécialisé dans les attaques au rançongiciel. Apparu en avril 2019, ce ransowmare fonctionne sur le modèle du RaaS (Ransomware as a Service), ce qui signifie qu’il loue son logiciel malveillant à des groupes tiers, les “affiliés”, qui se chargent de mener les attaques tandis que les créateurs du logiciel malveillant se chargent généralement de négocier et de récupérer les rançons, puis de redistribuer les gains. Revil est un groupe connu pour mettre en ligne et revendre les données qu’il vole à ses victimes via un site dédié. Mais, pour l’instant, le groupe n’a pas revendiqué l’attaque ni mis en ligne de données appartenant à Paris Habitat.

Leave a Reply

Your email address will not be published. Required fields are marked *