La cyberattaque de Capgemini, ou l'espion qui venait de l'intérieur © ricochet64 / Shutterstock
La cyberattaque de Capgemini, ou l'espion qui venait de l'intérieur © ricochet64 / Shutterstock

[Mise à jour du 18 juillet 2024 à 19 h 57 ] Un ingénieur de 26 ans, employé chez Capgemini à Toulouse, a été arrêté en mai 2024 pour avoir piraté son propre employeur. Il avait utilisé le malware Knight pour chiffrer des données sensibles et demander une rançon, ce qui l'a longtemps fait passer pour un gang de hackers russes.

L'histoire ressemble à un scénario de film. Capgemini, mastodonte français de l'informatique, un des dissidents qui se sont mis vent debout contre le projet européen de certification cloud (EUCS) en avril 2024, se fait attaquer par un rançongiciel. Rien d'extraordinaire jusque-là, nous direz-vous. Sauf que le pirate n'était pas un obscur hacker russe planqué derrière son écran à l'autre bout du monde. Non, l'ennemi se cachait au cœur même de l'entreprise. Un jeune ingénieur de 26 ans, employé depuis 2021, avait monté toute l'opération, que nos confrères du Parisien qualifient de « cas exceptionnel dans l'histoire française de la cybercriminalité ».

C'était là une sacrée surprise pour Capgemini, qui ne s'attendait pas à ce que la menace vienne de l'intérieur. Comment un employé a-t-il pu mettre en place une telle attaque sans être repéré ?

Knight, le rançongiciel qui a fait trembler Capgemini

Le 2 octobre 2023, Capgemini se réveille avec la gueule de bois. Un de ses serveurs contenant des données ultra-sensibles vient d'être chiffré. Le coupable ? Un rançongiciel baptisé Knight. Ce petit bijou de malveillance laisse un message sans équivoque : payez 5 000 dollars en Bitcoin, ou vos précieuses données seront vendues au plus offrant. Pas de négociation possible, le ton est donné.

Knight, c'est du lourd dans le monde des rançongiciels. Il chiffre les fichiers et leur colle une extension « .knight_l » à la fin. Impossible de les ouvrir sans la clé de déchiffrement. Et pour l'obtenir, il faut casquer. Le hacker donne 4 jours à sa victime pour payer, sinon il menace de vendre les infos volées. Un vrai coup de pression.

Ce qui est malin avec Knight, c'est qu'il se fait passer pour l'œuvre d'un gang de hackers russes. Tout y est : le style du message, les méthodes utilisées… Du travail de pro, en somme. Sauf que dans notre histoire, Knight n'était qu'un outil récupéré sur le Net par notre ingénieur en herbe. Il s'en est servi comme d'un écran de fumée pour brouiller les pistes. Plutôt futé.

Cette affaire rappelle que si le hacker a utilisé le ransomware pour rançonner une entreprise, ce type de méthode s'applique aussi bien aux particuliers. Alors, restez sur vos gardes, et en cas de demande de rançon, entre autres conseils de protection de vos données personnelles et bancaires, surtout, ne payez pas.

L'enquête de la BL2C : quand la police traque un fantôme russe

Capgemini ne perd pas de temps et réagit très vite à cette attaque.

« Début octobre, nos équipes ont détecté très vite cette tentative isolée d’attaque sur un serveur de test et y ont fait échec immédiatement. Aucune suite n’a été donnée à la demande de rançon et aucune donnée n’a été exfiltrée. L’ex salarié à l’origine de cette attaque avortée a été identifié très rapidement et licencié. Malgré l'absence d’impact sur nos activités, Capgemini a déposé une plainte pénale courant octobre dans l'objectif d'alerter les autorités sur un profil qui paraissait dangereux. Le temps écoulé depuis relève des opérations menées dans le cadre de l'instruction judiciaire de ce dossier », explique un porte-parole de la société à Clubic.

L'affaire atterrit sur le bureau de la Brigade de lutte contre la cybercriminalité (BL2C), les Sherlock Holmes du Web. Ils ont l'habitude de traquer les pirates russes et autres cybercriminels. Ce sont eux qui ont notamment enquêté sur la cyberattaque de France Travail et Cap Emploi en mars 2024.

Au début, tout le monde est persuadé d'avoir affaire à un « affilié ». C'est le terme utilisé pour désigner ces hackers russophones qui s'infiltrent dans les systèmes, chiffrent les données et demandent une rançon. La BL2C se lance donc sur cette piste. Ils scrutent le dark web, analysent le code du ransomware, cherchent des traces d'activité suspecte venant de l'étranger.

Mais voilà, l'enquête piétine. Pas de hacker russe à l'horizon. Pourtant, 6 mois après le début de l'enquête, ils remontent jusqu'à notre ingénieur toulousain. Le crime était presque parfait. Il avait bien caché son jeu, utilisant Knight pour faire croire à une attaque extérieure.

Pour l'heure, le présumé hacker occitan est mis en examen et placé en détention provisoire en attendant les conclusions de l'enquête. Car dans l'histoire, il reste à déterminer comment la BL2C a pu remonter jusqu'à lui.

Source : Le Parisien (accès payant)