Thales, un géant français de l’industrie électronique et de défense, a révélé les détails de l’attaque informatique qu’elle a subie en octobre et novembre 2022. Cette crise avait débuté le 31 octobre 2022, mais Thales a situé le début de l’incident à quelques semaines plus tôt. Selon l’entreprise, la crise trouve ses racines dans le vol de trois comptes utilisateurs à la mi-août 2022. Des informations d’identification de trois comptes utilisateurs d’un portail utilisé pour communiquer avec un partenaire sont dérobées.

Thales attaque informatique Lockbit

Thales ne sait pas avec certitude comment ces trois comptes ont été compromis, mais privilégie deux pistes : soit un accès obtenu grâce à la réutilisation d’un mot de passe employé sur un site tiers piraté, soit le piratage d’un terminal ayant accès via un navigateur à la synchronisation des mots de passe. Quelques semaines plus tard, l’accès à ces trois comptes est vendu sur un marché noir. Deux des trois comptes sont en effet ceux d’agents, et l’accès à ces deux comptes internes compromis est aussitôt bloqué. Mais l’achat du troisième compte utilisateur, qui dépend de son partenaire industriel, passe lui sous les radars de Thales.

Les pirates informatiques ont ensuite passé cinq jours à explorer le portail et les données auxquelles ils ont accès, avant de télécharger depuis un serveur d’hébergement européen environ 9 Go de données, soit le volume de données accessible au partenaire de Thales. Le gang de pirates LockBit a revendiqué l’attaque sur son site la veille d’un jour férié. Thales a exclu la piste d’une intrusion sur ses systèmes d’information et le déploiement d’un rançongiciel pour privilégier l’hypothèse d’un vol de données. Les fichiers dérobés à l’industriel, environ 400 fichiers uniques, étaient pour la plupart issus du portail compromis. Une faible part de l’archive, de moins d’1 Go, des fichiers datant de plus de deux ans, provenait cependant d’un autre vol.

Thales suppose qu’il s’agit de données volées à un opérateur interne ou externe de l’entreprise au début de la pandémie de Covid-19. Selon Stéphane Lenco, le directeur sécurité des systèmes d’information de Thales, cela pourrait correspondre à des données prises dans l’urgence par un salarié devant quitter de manière précipitée son bureau. Les données volées sont jugées peu sensibles, classées en interne de niveau deux, ce qui correspond à des données non publiques, mais partagées avec des partenaires.

Reste un point toujours flou pour l’entreprise. Quel était précisément le mobile des pirates de LockBit ? Ces derniers n’ont en effet pas transmis directement de demande de rançon à l’entreprise française, tandis que les habituels liens pour acheter un délai supplémentaire pour éviter la divulgation des données volées n’étaient pas présents. Pour Thales, LockBit a peut-être voulu se faire une campagne de publicité gratuite avec cette attaque. Autre hypothèse formulée est celle d’une opération visant in fine à manipuler le cours de Bourse de la société, ou s’agissait-il enfin d’une attaque ciblée visant une entreprise de défense européenne, un secteur sous tension depuis le début de l’invasion militaire russe en Ukraine ? Quel que soit le mobile des pirates, Thales espère que cette opération de transparence permettra de redorer son blason. L’entreprise a en effet présenté à la presse un instructif retour d’expérience, qui souligne les limites de sa surveillance, mais aussi la rapidité de sa réaction à l’attaque.