Début septembre, plusieurs sites spécialisés se sont fait l’écho d’une attaque de ransomware, ou rançongiciel, ayant visé le géant de médias et des télécom Altice, ancien propriétaire de Libération (et toujours lié au titre via un fonds de dotation). Emanant du groupe de hackers Hive, l’attaque n’aurait pas concerné «le périmètre Altice France et SFR», avait affirmé à Clubic la communication du groupe, se voulant rassurante pour les abonnés de l’opérateur téléphonique, mais sans permettre pour autant de jauger le volume ni la nature des données piratées. Sur ce point, on commence à avoir de premiers éléments de réponse. D’après le site Reflets, qui a eu accès aux données dès leur diffusion, la fuite comporterait beaucoup de documents, notamment administratifs et financiers, qui détaillent l’architecture mondiale du groupe, mais ayant aussi trait à son médiatique patron, le milliardaire Patrick Drahi.

Mardi 5 septembre, le site d’information a ainsi publié un premier article, basé sur les données volées. Intitulé : «Drahi par un groupe de ransomware ! Les données les plus secrètes du milliardaire diffusées sur Internet», l’article détaille le train de vie de l’intéressé à partir des données du Family Office qui gère la fortune personnelle de la famille Drahi : l’appartement new-yorkais à 54,5 millions de dollars, les trajets en yachts ou en jets privés, les dons en millions d’euros faits par Patrick Drahi au reste de sa famille ou encore la valeur de la bague que sa femme s’est achetée lors d’un voyage en Suisse, pour plus de 2 millions de francs suisses. On y apprend jusqu’à la marque et au parfum des yaourts que le milliardaire souhaite voir servis dans son jet privé.

La publication des données piratées remonte au 25 août. Elle a été immédiatement remarquée par les observateurs du secteur. Le rédacteur en chef du média spécialisé MagIT, Valéry Rieß-Marchive, avait ainsi publié un tweet dès la diffusion des données, interpellant Altice.

L’attaque elle-même a semble-t-il eu lieu deux semaines auparavant. Le message revendiquant le piratage, posté sur la plateforme des cybercriminels, indique ainsi que le vol a eu lieu le 9 août à 22 h 36, heure à laquelle des ordinateurs d’Altice ont vraisemblablement été «chiffrés», comprendre rendus inaccessibles par des pirates qui ont réussi à s’introduire dans les systèmes informatiques du groupe. Ce que confirme le groupe à CheckNews : «Altice confirme qu’au début du mois d’août elle a été victime d’une cyberattaque criminelle de type rançongiciel visant un système interne au niveau de la holding financière de l’entreprise.» Et de répéter que «le périmètre Altice France - SFR [n’est] pas impacté par ce rançongiciel».

L’attaque est signée du groupe de pirates Hive. Ces opérateurs d’un rançongiciel, s’ils sont relativement jeunes dans le paysage car apparus seulement en 2021, n’en apparaissent pas moins organisés, comme le révélaient les chercheurs de l’entreprise de cybersécurité IB-Groupe. Avec ses sous-traitants, son service après-vente et ses procédures bien établies par ses administrateurs, Hive multiplie les victimes, notamment parmi les grandes entreprises. Ces derniers ont déjà frappé le géant allemand de l’électroménager MediaMarkt mais aussi l’Ecole nationale de l’aviation civile (Enac) en mars dernier.

C’est bien sur leur plateforme illégale, comme a pu le vérifier CheckNews, que les données ont été diffusées gratuitement. Cette pratique n’est pas inhabituelle, certains cybercriminels vendent les données de leurs cibles, d’autres les diffusent, tout ou partie, sans autre formalité pour effrayer de futures victimes et les amener à payer les rançons exigées au moment du piratage.

Les pirates prétendent avoir diffusé seulement 25 % des informations piratées, une affirmation impossible à vérifier. Mais la base de données accessible est déjà conséquente. Antoine Champagne, cofondateur et rédacteur en chef de Reflets, explique à CheckNews : «Est-ce qu’on a réussi à le quantifier ? Non. Mais c’est suffisamment gros pour que depuis le 25 août on n’ait pas fait le tour des documents. Et on est deux et demi à travailler 10 heures par jour dessus.» CheckNews a également pu consulter la base, sans réussir à en estimer son ampleur.

Dans son communiqué transmis à CheckNews, Altice déclare que «cette situation a été gérée en conséquence, les impacts ont été contrôlés et tous les services ont été rétablis. Ainsi, la holding financière est pleinement opérationnelle. Nous devons souligner qu’aucune donnée sensible n’a été compromise, en particulier les données des clients, les données des partenaires commerciaux ou les données relatives à nos partenaires financiers.» CheckNews n’a pas été en mesure de vérifier ce dernier point, qui semble contredit par les informations publiées par Reflets, notamment sur la santé économique de l’entreprise Teads, achetée par Altice en 2017.

Comme à chaque «leak» (ou fuite massive de données), la question posée aux médias est celle de la pertinence de publier les données, souvent privées, en fonction de l’intérêt public qu’elles revêtent. La fuite des données concernant Altice, et notamment celles concernant le train de vie de son patron, n’échappe pas à la règle. Auprès de CheckNews, Antoine Champagne estime que «les infos qui ressortent de ce leaks sont des infos qui posent des questions d’intérêt sociétal. Que Drahi soit très riche et vive comme un roi, grand bien lui fasse. Quelque part on s’en fout, tant mieux pour lui. Mais en même temps, notre président nous dit que c’est la fin de l’abondance. L’hiver va être froid, mais il faut que ça le soit pour tout le monde, il ne faut pas qu’il y ait de telles disparités, il y a quelque chose qui dysfonctionne. C’est une question sociétale : est-ce qu’on est OK pour avoir une société qui fonctionne comme ça ? Il peut y avoir plein de réponses, je n’en ai pas. Je ne fais que poser des questions.»

Les auteurs de l’article expliquent avoir fait un tri : «Lors de la publication des documents concernant Altice, nous avons souhaité prendre le temps de les consulter en détail pour mesurer à la fois l’étendue du piratage et vérifier qu’ils étaient d’intérêt public. Tous ne le sont pas. Par exemple, les codes secrets des employés ou de la famille Drahi ne le sont pas. En revanche, ceux que nous évoquons le sont.» Le site affirme que son article «est le premier d’une longue enquête que nous allons poursuivre sur plusieurs mois».

Le groupe Altice a réagi à la cyberattaque par une vive condamnation : «Nous tenons à exprimer notre vive critique à l’égard de ce type d’attaques ignobles et de tous les individus qui les commettent.»