Des pirates ont revendiqué une attaque contre le groupe Thales et menaçaient de publier des informations confidentielles. Le collectif de hackers Lockbit a en réalité attaqué un partenaire.

Le lundi 7 novembre, les hackers de Lockbit devaient révéler des « informations hautement sensibles et confidentiels » de Thales, un groupe français impliqué dans de nombreux programmes de défense et de sécurité nationale. Quatre jours plus tard, la page du site darknet publie des fichiers liés à un contrat avec des partenaires en Asie du Sud-Est. Contacté par Numerama, Thalès confirme « qu’il n’y a pas d’intrusion dans ses systèmes d’information. Les experts en sécurité ont identifié l’une des deux sources probables du vol d’informations. Il s’agit du compte d’un partenaire sur un portail d’échange dédié qui a conduit à la divulgation d’un volume limité d’informations ».

Thales souligne qu’à cette heure, il n’y a pas d’impact sur ses activités. Les documents pubiés ne sont liés à aucun programme militaire.

Numerama a attendu de parler de cette affaire, et à juste titre. En cas d’attaque, il vaut mieux savoir de quoi il s’agit, à quel point la société est impactée et si une rançon est demandée.

Un service de ransomware

Naturellement, on doit prendre au sérieux une revendication, encore plus lorsqu’il s’agit d’une multinationale aussi importante que Thalès. Le nom de Lockbit fait peur aujourd’hui, surtout en France depuis que ce ransomware a paralysé l’hôpital de Corbeil-Essonnes en août dernier. Toutefois, il faut bien comprendre que ce collectif n’est pas responsable de toutes les attaques, les gérants du logiciel malveillant font également louer leur produit. On parle de ransomware-as-a-service (RaaS). Ainsi, un hacker peut se servir de Lockbit après négociations avec les responsables, puis le paiement de la rançon sera réparti avec l’équipe de développeurs.

L’efficacité de l’attaque dépend pour beaucoup des pirates qui sont derrière. Et il convient de rappeler que Lockbit a déjà eu des ratés. Au même moment où le piratage de Thalès était revendiqué, une opération contre Continental était parallèlement annoncée sur le site du collectif. Les victimes peuvent directement discuter depuis un chat sur la plateforme, mais la tournure du dialogue brise tout le mythe du hacker… Continental finit même par abandonner la discussion et laisse les malfaiteurs continuer leur bluff dans le vide.

Les pirates se font ghoster par Continental. // Source : Numerama
Les pirates se font ghoster par Continental. // Source : Numerama

Il faut redoubler de précautions, pour les lecteurs et lectrices

Il faut se mettre à la place du lecteur. Lorsque le grand public apprend qu’un hacker revendique un piratage, il en déduit automatiquement que l’entreprise est en état d’alerte et que des données sensibles vont être publiées.

Lockbit avait déjà revendiqué une attaque contre Thalès en janvier dernier, mais les données publiées n’avait finalement rien de sensible. Par ailleurs, les piratages sont nombreux et les données publiées se comptent en milliard sur le darknet. Beaucoup de pirates ont tendance à recycler des informations déjà en ligne depuis plusieurs années. Une autre technique est de s’attaquer aux partenaires commerciaux des grands groupes pour faire croire ensuite qu’ils détiennent des données sensibles. TikTok en a fait les frais récemment.

Toutefois, Thalès reste vigilant. Les ransomwares ne sont pas la seule manière de dérober des données et le groupe préfère rester sur gardes.

Parfois, les hackers malveillants aiment bien faire parler d'eux...  // Source : Illustration Nino Barbey pour Numerama
Parfois, les hackers malveillants aiment bien faire parler d’eux… // Source : Illustration Nino Barbey pour Numerama

Les motivations sont nombreuses lorsqu’un pirate se targue publiquement d’avoir dérobé des informations sans les divulguer. Un coup de pub de la part de Lockbit n’est pas à exclure par exemple — les groupes de hackers ont besoin de faire peur pour s’assurer que la rançon va être payée. Néanmoins, le bluff ne peut fonctionner à tous les coups et nuit à long terme à la réputation du collectif.


Dans tous les cas, une revendication ne veut pas forcément dire que les messages privés du PDG sont en ligne. À mesure que les cyberattaques augmentent, il faut savoir trier entre les piratages critiques et les opérations de marketing lancées par des hackers en besoin de reconnaissance.

Nous avions indiqué le 9 novembre qu’aucune donnée n’a été publié après la fin du compte à rebours de Lockbit. Des fichiers dérobés, liés à un contrat en Asie du Sud-Est, sont disponibles sur le site darknet depuis le 11 novembre mais Thales nous confirme qu’il n’y a aucune intrusion.

L’article a été mis à jour après le 14 novembre.