Bouygues Construction infecté par Maze, l’Anssi sur le coup

Victime d’un ransomware depuis le 30 janvier, Bouygues Construction vient à nouveau de sortir de son mutisme pour assurer que, en substance, tout va bien. Pendant ce temps, le malware responsable a été identifié comme étant Maze, tandis qu’un des opérateurs de ce ransomware revendique l’attaque.

Bouygues Construction nous promettait un point en début de semaine sur l’attaque informatique dont il est victime. Hier, nouveau communiqué du géant du BTP… qui ne nous apprend rien de neuf. « Des mesures spécifiques ont été prises » écrit le groupe, « aucun chantier n’a été arrêté et l’ensemble des données qui sortent de l’entreprise vers l’extérieur fait l’objet d’une procédure de sécurisation renforcée ».

Ne surtout pas en conclure que tout va bien. Bouygues, « accompagné d’experts externes et internes » œuvre encore à éteindre l’incendie. Rare information vérifiable, l’Anssi est dans la boucle. En outre, le groupe de BTP précise que « les polices d’assurance ad hoc ont été activées ». Espérons prochainement avoir un retour de Bouygues Construction sur l’efficacité des cyber-assurances.

Le communiqué ne dit rien d’autre, les informations sur l’attaque dont fait l’objet l’entreprise sont à chercher ailleurs. On sait depuis le premier communiqué que c’est un ransomware qui a frappé Bouygues Construction. Le 30 janvier, Zataz assurait être en contact avec les auteurs de l’attaque, nommé le groupe Maze. Groupe qui a en décembre ouvert un site web sur lequel il liste ses victimes, ainsi que des adresses IPs et des indications des volumes de données dérobés à telle ou telle entreprise et parfois des fichiers « preuves » de l’attaque, menaçant en outre leurs victimes de publier leurs documents confidentiels si la rançon devait ne pas être payée.

Maze désigné coupable par l’Anssi

Sur son site, Bouygues est depuis peu mentionné, avec une liste de plus de 200 IPs « verrouillées » et un fichier .rar dont les attaquants clament qu’il provient du système d’information de Bouygues Construction. Mais ces informations quant à l’identité des attaquants sont difficilement vérifiables : « il n’est pas confirmé que cette archive corresponde réellement à des données exfiltrées du système d’information de Bouygues Construction » écrit l’Anssi dans son rapport sur les rançongiciels en date du 5 février.

Si l’agence attribue bel et bien la compromission du système d’information de Bouygues Construction à Maze, ce ransomware est opéré par plusieurs groupes. L’un de ses opérateurs, TA2101, fait l’objet d’un focus dans le papier de l’Anssi et ses méthodes sont semblables à celles des pirates qui ont attaqué Bouygues Construction. D’ailleurs, l’Anssi a publié au même moment les marqueurs de compromission propres à Maze et à TA2101.

Selon le rapport de l’Anssi, ce groupe serait responsable des attaques dirigées contre Southwire, une entreprise américaine à qui il réclamait 6 millions de dollars, et la ville de Pensacola, avec une demande de rançon d’un million de dollars. Selon Zataz, Bouygues Construction se serait vu réclamer 10 millions d’euros pour obtenir les clés de chiffrement ainsi que la non-divulgation de ses documents, une information que l’entreprise n’a pas confirmée.