Hack, pas hack ? La question reste en suspens. Ce jeudi, des cybercriminels du groupe de ransomware (ou rançongiciel de la contraction rançon et logiciel) Lockbit 2.0 assurent avoir attaqué le site du ministère de la Justice. Un gros compte à rebours rouge à l’appui, ils menacent de publier des documents qu’ils seraient parvenus à faire fuiter d’ici deux semaines. Contacté par Libération, le ministère de la Justice indique avoir «pris connaissance de l’alerte, et [s’être] immédiatement organisé pour procéder aux vérifications nécessaires, en lien avec les services compétents dans ce domaine».

Selon la société de cybersécurité Kaspersky, le ransomware Lockbit est «un logiciel malveillant conçu pour bloquer l’accès à des utilisateurs aux systèmes informatiques et lever le blocage en échange d’une rançon». Il s’agit d’une attaque privilégiée pour cibler notamment des entreprises ou autres organismes. D’abord surnommé «virus.abcd», le programme Lockbit serait utilisé dans des attaques recensées depuis septembre 2019. «Les Etats-Unis, la Chine, l’Inde, l’Indonésie et l’Ukraine ont été déjà visés par le passé par ce genre d’attaques», ajoute la société. De même pour plusieurs pays d’Europe.

De façon générale, comme l’explique à Libération Anis Ayari, ingénieur en intelligence artificielle et Youtubeur, un rançongiciel «encrypte des données pour ne plus y avoir accès». Une attaque, comme il le rappelle, ayant fréquemment ciblé des hôpitaux l’année dernière. «Ce sont des services travaillant dans l’urgence et qui ont donc tendance à payer plus facilement la rançon», éclaire-t-il. Toutefois, de plus en plus, les ransomwares récupèreraient des données au passage pour, également, faire du chantage dessus.

Sur Twitter, Anis Ayari décrypte la prétendue attaque subie par le ministère. Selon lui, dans le «meilleur des cas», les données qui fuiteraient «seraient des données publiques agrégées d’avocats, d’huissiers, de lieux de justices etc.» Dans le pire, ce serait des informations confidentielles d’utilisateurs, comme «les casiers judiciaires, les suivis, les plaintes de chaque personne accessibles publiquement». Quant à savoir comment les cybercriminels seraient parvenus à infiltrer les réseaux du ministère, l’ingénieur évoque une «erreur humaine», comme un clic sur un lien corrompu ou, comme il a récemment pu le voir, «un employé laissant son ordinateur ouvert dans un train de la SNCF».

Sur son site, le groupe de cybercriminels revendique avoir attaqué aussi bien des organismes italiens, que danois ou encore espagnols. Dans la dernière actualisation de ses prétendues victimes, en plus du site du ministère de la Justice, il indique que la commune de Saint-Cloud (Hauts-de-Seine) serait également concernée. Contacté par Libération, Eric Berdoati, le maire, confirme : «On a fait l’objet vendredi dernier tôt le matin d’une cyberattaque qui a paralysé tous nos systèmes.» Une plainte a été déposée auprès du parquet de Paris.

L’élu ne souhaite pas indiquer si une demande de rançon a été reçue. Il affirme toutefois qu’aucune fuite de données n’a été relevée pour l’instant. «Petit à petit, on est en train de se remettre en activité, on va réussir d’ici à la fin de la semaine à tout rétablir», poursuit-il. La mairie devra tout de même racheter des serveurs et «réinvestir dans une infrastructure neuve». Un coût qui dépasserait apriori la centaine de milliers d’euros. Pour rappel, en décembre, plusieurs mairies de Seine-Saint-Denis avaient aussi visées par une attaque au rançongiciel.

Lockbit 2.0 est notamment connu pour avoir, en janvier, publié des données du groupe spécialisé dans l’aérospatiale et la défense Thales. Ici aussi, les cybercriminels avaient mis en ligne un compte à rebours, annonçant le piratage, en menaçant de dévoiler des documents en échange d’une rançon. Auprès du Parisien, Thales avait indiqué que les dossiers fuités n’hébergeaient cependant que «des données à faible niveau de sensibilité».

Dans le cas du ministère de la Justice, certains experts soulèvent la possibilité d’un «coup de bluff» de la part du groupe Lockbit 2.0. Improbable selon Anis Ayari qui précise que les groupes de ransomware sont «très organisés» : «S’ils s’amusent à bluffer, ils perdent en crédibilité et donc prendraient le risque que plus personne ne les paie. Or il faut avoir en tête que le marché du rançongiciel est un marché hyperconcurrentiel, c’est un vrai business.»