Piratage de la société Altran, un étonnant gMail découvert par ZATAZ

Posted On 02 Fév 2019

Vous avez très certainement entendu parler de ce ransomware venu s’inviter dans les serveurs de la société Altran. Un logiciel de rançonnage qui aurait pu être évité ? ZATAZ a mis la main sur un espace numérique de l’entreprise des plus bizarre.

Ahhhhh !!!?? Les vilains ransomwares. Des logiciels qui prennent en otage vos serveurs, machines, ordinateurs, dossiers. Si vous souhaitez retrouver vos biens numériques, il faut soit payer, soit sortir les sauvegardes.

Altran, une société française d’ingénierie et de conseils en informatique s’est retrouvée prise en otage par ce genre de logiciel malveillant. Le problème a été révélé dès le lendemain de ce blocage pirate, le 24 janvier 2019. Comme l’explique Emmanuel Paquette dans les colonnes de l’Expansion, l’ANSSI a été appelée à la rescousse.

L’Agence Nationale de la Sécurité des Systèmes d’Information se charge avant tout des OIV, des Opérateurs d’Importances Vitales. Mais comme Altran gère des clients comme Orange, EDF, Engie, Airbus ou encore Alstom, l’ANSSI envoie ses spécialistes.

« pour protéger nos clients, employés et partenaires, nous avons immédiatement déconnecté notre réseau informatique et toutes nos applications. L’enquête que nous avons menée n’a révélé aucun vol de données ni aucun cas de propagation de l’incident à nos clients » souligne le service presse d’Altran. Comme il s’agit d’un ransomware, le pirate réclame surtout de l’argent à sa victime.

Ce qui m’inquiète le plus est de savoir qu’un assureur couvre l’attaque ! Donc tout va bien dans le meilleur des mondes ? ZATAZ va vous expliquer que non !

Espace numérique bizarre, l’ANSSI alertée

Alors que nous lisions d’un œil léger cette nouvelle prise d’otage informatique, et que je recherchais des informations sur les clients d’Altran (le ransomware était peut-être un leurre pour attaquer un partenaire, comme AirBus par exemple, NDR), Google, Qwant et d’autres moteurs de recherche me sortaient une adresse IP qui aurait pu paraître anodine.

Sauf que l’adresse de cet espace numérique dirigeait sur une page baptisée « Altran Connexion« . Une demande d’identifiant et de mot de passe empêchait de connaitre les petits secrets cachés derrière cette adresse… sauf que… une fois de plus… les moteurs de recherche fournissaient des dossiers accessibles sans les précieuses clés d’accès.

Bilan, openbar dans des codes sources et certains éléments TRÈS sensibles comme des mots de passe ou une adresse gMail.

Là où cela devient « croquignolesque », l’ip utilisée dirige sur un nom de domaine, ai-as-a-service.fr, hébergé chez OVH. Un domaine dont le propriétaire est « protégé », ouvert depuis mars 2018.

Bref, soit nous avons un vrai espace Altran et des données sensibles, soit nous avons une page phishing très bien réalisée. J’avoue que les deux possibilités sont tentantes. L’ip propose aussi de « Créer un login et un mot de passe afin de pouvoir vous authentifier en tant qu’administrateur. Cela vous permettra de créer des labels ainsi que d’autres éventuels utilisateurs et de récupérer les fichiers fournis par la plateforme« . L’ANSSI a été alertée par ZATAZ.

A noter qu’un des clients d’Altran, Airbus, a aussi annoncé une attaque informatique à l’encontre de ses systèmes, quelques jours après la société d’ingénierie. Très certainement un hasard !

Le communiqué de presse https://t.co/Nqht2HkUYm

— Damien Bancal "o/" (@Damien_Bancal) February 2, 2019

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.