Cyberattaque : des informations confidentielles sur des composants de Tesla, SpaceX et Lockheed Martin exposées sur le web

Des informations industrielles confidentielles concernant Tesla, SpaceX, Boeing et Lockheed Martin se promènent sur le web, selon le site d’actualité américain TechCrunch. Ce lundi 2 mars, Visser Precision, une PME de Denver, dans le Colorado, a annoncé subir un « incident de cybersécurité impliquant l’accès à des données ou le vol de données ». Celle-ci fournit des composants en métal, usinés et imprimés en 3D, et compte ces quatre grands groupes parmi ses clients.

Interrogé par Industrie & Technologies, Brett Callow, chercheur en sécurité chez Emsisoft qui a alerté TechCrunch, précise que cette attaque vient du ransomware (rançongiciel) DoppelPaymer, qui exploite une faille dans les logiciels d’entreprises de Citrix (CVE-2019-19781). « Certaines des données qui ont été volées, comme, par exemple, des informations relatives à Tesla et SpaceX, ont déjà été publiées en clair sur le web où elles sont accessibles à toute personne disposant d'une connexion internet », prévient-il. Nous avons pu accéder au site internet. On y trouve des fichiers CAO, des fiches de décomposition des coûts, des factures, des mails...

Exemple de document publié sur internet par les cyberattaquants

Un cousin de Maze, qui avait attaqué Bouygues Construction fin janvier

Sur ce site web créé par les cyberattaquants figure le message « Restez à l'écoute. Il en reste encore beaucoup à venir, en plusieurs partie ». « Ce qui suggère évidemment qu'ils disposent de plus de données que celles déjà publiées », indique Brett Callow. Visser Precision, de son côté, a assuré à TechCrunch qu’ils « continuaient à enquêter et que les opérations industrielles n’étaient pas affectées » pour le moment. Contactés par le site américain, Tesla, SpaceX et Boeign, n’ont pas encore répondu.

Dérivé du ransomware BitPaymer, actif depuis plusieurs années, DoppelPaymer fonctionne d’une manière similaire au ransomware Maze, qui a notamment paralysé Bouygues Construction du 30 janvier à début février 2020 en bloquant l’accès à 237 ordinateurs et en volant une grande quantité de données (200 Go selon Zataz et jusqu'à plusieurs To selon Bleeping Computer). Comme avec Maze, les hackers derrière DoppelPaymer exfiltrent les données avant de les chiffrer puis réclament une rançon. Si la société ne paie pas, ils publient ces données en ligne progressivement. Actif depuis la mi-2019, DoppelPaymer « n’a commencé à publier des données que depuis quelques jours », poursuit Brett Callow. Le groupe « prétend avoir vendu des données volées lors d'incidents précédents sur le darknet », ajoute-t-il.

Demande de rançon adressée à Visser Precision

Bretagne Télécom récemment attaqué par DoppelPaymer

En janvier, DoppelPaymer a été utilisé pour voler et chiffrer des données de Bretagne Télécom. Avec à la clé une demande de rançon s'élevant à 35 bitcoins (équivalents à près de 278 000 euros aujourd’hui). Une somme que Nicolas Boittin, le PDG, a refusé de payer, avant de parvenir à récupérer les données chiffrées - mais probablement pas les données exfiltrées par les hackers. Déjà, en 2019, diverses attaques avaient été menées avec DoppelPaymer contre le gouvernement chilien et Pemex, la compagnie pétrolière nationale du Mexique, Allied Universal).

Certaines données relatives à Bretagne Télécom, à Pemex et à d’autres entreprises sont aussi disponibles sur le site créé par DoppelPaymer, aux côtés de celles issues de l’attaque contre Visser Precision. Brett Callow craint que les données de nombreuses autres entreprises pourraient également être en danger – document à l’appui.

Sélectionné pour vous

L'IRT SystemX fête ses 10 ans : « Nous voulons nous inscrire dans des programmes scientifiques à fort impact », déclare son DG, Paul Labrogère

La start-up Chimere met le darknet au service de la cybersécurité des entreprises

Sécuriser les puces : la solution de Secure-IC primée aux Assises de l'embarqué