Sopra Steria confirme avoir été touchée par une nouvelle version du ransomware Ryuk

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 26 octobre 2020 à 13h07

L'entreprise française indique, lundi, ne pas avoir constaté de fuite de données, après l'attaque au rançongiciel subie la semaine dernière.

Après une première sortie sur la réserve mercredi dernier, Sopra Steria a de nouveau communiqué, ce lundi 26 octobre, en apportant ses propres éléments sur l'attaque au ransomware dont l'entreprise aux 45 000 salariés a été victime il y a quelques jours. Elle confirme avoir bien identifié le virus et il s'agit du rançongiciel Ryuk, apparu sous une nouvelle version depuis plusieurs semaines.

Une faille à la criticité maximale

Ryuk a donc bien frappé. Le rançongiciel, apparu en 2018 puis presque disparu jusqu'à son retour en force en septembre dernier, a notamment pris pour cible Sopra Steria, dans une nouvelle version, « jusque-là inconnue des éditeurs d'antivirus et des agences de sécurité », explique l'entreprise. Un signe supplémentaire de la sophistication des cyberattaques.

Comme nous vous l'avions indiqué en fin de semaine dernière, Ryuk a exploité la nouvelle vulnérabilité Zerologon, qui a permis aux attaquants de compromettre tous les services d'identité Active Directory, l'annuaire de Microsoft. Cette faille « permet de pénétrer en vertical dans une organisation, et les attaquants n'ont plus qu'à finir le travail », nous expliquait l'ancien hacker Jérôme Thémée.

Toucher l'annuaire Active Directory est un coup de maître des pirates. Et une atteinte grave subie par l'entreprise. « Zerologon a été notée 10 sur 10 par le Common Vulnerability Scoring System ou CVSS », nous rapportait le consultant en cybersécurité Frédéric Gouth, évoquant une attaque à la criticité maximale. En faisant preuve d'agilité, Sopra Steria a pu rapidement communiquer la signature de la nouvelle version de Ryuk « à tous les éditeurs d'antivirus pour une mise à jour de leurs antivirus ».

Un retour à la normale prévu « dans les prochaines semaines »

Sopra Steria, qui a rendu publique l'attaque le 21 octobre après l'avoir découverte la veille, indique ce lundi que la cyberattaque avait été lancée quelques jours avant sa détection. De quoi faire suffisamment de dégâts ? Pas nécessairement, si l'on en croit l'entreprise : « Les mesures de sécurité immédiatement mises en œuvre ont ainsi permis de contenir la propagation du virus à une partie limitée des installations du groupe et de préserver ses clients et ses partenaires ».

Pour le moment, Sopra Steria indique ne pas avoir « constaté de fuite de données ou de dommages causés aux systèmes d'information de ses clients ». Une bonne nouvelle, même si généralement, les données éventuellement captées par les hackers via un ransomware sont chiffrées et masquées au moins durant un temps.

Le spécialiste de la transformation digitale indique avoir redémarré de façon progressive et sécurisée, lundi, le système d'information et les opérations du groupe. Et Sopra Steria de prévoir un retour à la normale dans les prochaines semaines.

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Piratage / Cybercriminalité

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (7)

bmustang

steria peut bien nous dire ce qu’il veut et minimise peut être l’impact réel pour ne pas affoler ses clients et ses actionnaires. Ça fait tâche venant d’une boite avec plusieurs milliers d’ingénieurs ! Surtout quand on sait que l’intrusion aurait pu être stoppé.

Pronimo

Les fameux: touche a tout, experts en rien.
(ca devrais être la devise des sociétés de services ^^).

elamapi

En même temps, microsoft a déjà été piraté, Google à déjà été piraté, Globalement toutes les grandes banques ont déjà été piraté, le FBI à déja été piraté, Les repositories Débian/Ubuntu et Redhat ont déjà été piraté, Visa a déjà été piraté, Paypal à déja été piraté, sony, samsung, carrefour, cap gemini, ibm … en fait, il n’y a aucun grand groupe qui n’ai pas déjà été piraté. Et vous pensez donc, vous, que si vous aviez été PDG d’un de ces groupes, vous auriez pu éviter leur piratage ? C’est juste pour savoir. Parce que si c’est le cas, vous devriez déjà être multi millionaires.

sebzuki

wahooo en plus ils travaillaient tous sur la sécu dis donc !!
T’as eu le prix nobel toi non ? ^^

carinae

Visiblement tu n’as pas trop l’air savoir de quoi tu parles … Si les SSII existent c’est justement pour faire ce que d’autres ne sont pas capables de faire …
On a beau le dire et le répéter la sécurité a 100% ça n’existe pas

jeanlain

Lol.
C’est beau les donneurs de leçons, surtout quand ils ne connaissent rien au sujet sur lequel ils tentent d’intervenir

BricoleurDuDimanche83

L’utilisateur c’est le maillon faible :
98% des problèmes sont liés à un manque de formation,
01% à un manque de vigilance,
01% à une complicité ou la volonté de nuire !