Ransomware chez Econocom : pourquoi la situation est inquiétante

Un ransomware s’est-il infiltré chez Econocom ? Ça en a tout l’air. L’entreprise apparaît désormais dans la liste des victimes revendiquées de Pysa.

Ce dernier – ainsi nommé parce qu’il exploite les bibliothèques de chiffrement pyaes et rsa – n’est pas inconnu au bataillon. En France, il fut vraisemblablement le bourreau de plusieurs collectivités territoriales.

Parmi ces collectivités figure la métropole d’Aix-Marseille-Provence. Attaquée en mars 2020, elle n’était apparue sur le « site vitrine » de Pysa qu’au cours de l’été.
Un tel délai n’est pas rare avec ce ransomware. Econocom ne semble pas y faire exception. Tout du moins si on se réfère à la date affichée sur le site : 29 octobre 2020.

Quelques jours avant cette date, une alerte était remontée à propos d’une attaque que la septième ESN de France aurait subie fin septembre. On n’a depuis lors eu droit à aucune confirmation officielle de l’incident. Toujours est-il que de nombreuses données sont désormais disponibles au téléchargement.

Econocom : des machines et des hommes

Les noms des fichiers révèlent des systèmes (bases SQL, domaines internes, NAS signalé comme « important pour les RH »…), mais aussi et surtout des personnes. Plus d’un millier, qui ont ou eurent un lien avec Econocom : un admin réseau, un ingénieur cloud, un conseiller en relation client, un business manager, etc.
Les archives zip qui portent leur nom contiennent pour certaines des informations très sensibles. Outre des pièces d’identité, on trouve par exemple des diplômes, des contrats de travail, des RIB ou des attestations de droits à l’assurance maladie.

Si Econocom garde pour l’instant le silence, d’autres ESN victimes de ransomwares ont ouvert la communication. En première ligne, Sopra Steria, qui s’est dit touché par une variante de Ryuk (il semble s’agir de Conti). Coût estimé de l’incident : 40 à 50 millions d’euros. Mais pas de vol de données à déplorer. On n’a effectivement pas trouvé preuve du contraire jusqu’à présent.

D’une taille plus modeste, mais tout de même dans le top 50 des ESN/ICT, Umanis a quant à lui subi la loi de Netwalker. Sa dernière annonce remonte à fin novembre. Il y a bien eu publication de données. Mais des trois liens de téléchargement actuellement disponibles, seul un aboutit à un fichier. Les autres ont expiré.
Aix-Marseille-Provence est dans un cas similaire de « disparition » progressive des données. L’indisponibilité des fichiers découle parfois de la fermeture du compte qui a servi à les uploader.

Illustration principale © Rawpixel.com – stock.adobe.com