Le groupe Econocom confirme une attaque de cybersécurité. Les dernières investigations montrent que les informations fuitées proviendraient d’un prestataire intervenant pour quelques clients Econocom en France. ZATAZ retrouve les pirates !

Samedi 19 août, les pirates informatiques du groupe Stormous a revendiqué avoir piraté la société Econocom. « Aucune demande de rançon n’a été reçue par le groupe. » affiche dans son communiqué du 24 août la société Econocom.

Les pirates du groupe Stormous ont commencé à « communiquer » sur cette infiltration le 19 août en affichant des documents qu’ils auraient prétendument exfiltrés. Les black hats parlent de : mots de passe ; Projets ; Messages ; Plans ; Rapports ; Comptes & Support ; Anciens dossiers ; Procédure configuration DHCP ; Borne DLINK. Ce même jour, Stormous annonçait avoir diffusé 5% de informations exfiltrées.

Premier message de menace de Stormous. – Capture : ZATAZ

Dans son excellente communication de crise, Econocom explique dans le communiqué de presse que ses équipes sécurité (Group Security et le Security Operations Center) se sont immédiatement mobilisés, et ont lancé les premières investigations. Celles-ci ne permettant pas de détecter d’actions malveillantes au sein du Service Informatique d’Econocom. L’hypothèse la plus plausible était qu’il s’agissait d’une réminiscence d’une précédente attaque en 2020 (documents diffusés très anciens), aujourd’hui circonscrite, dont Econocom avait été victime. Le Ransomware Pysa (aka mespinoza) était passé par là, à l’époque. Des attestations de carte vitale, carte d’identité, diplôme, RIB, avaient été diffusés à l’époque comme le confirmait LeMagIt.

Le mardi 22 août aux alentours de 15h, Econocom constate que des données plus récentes ont été exfiltrées et active le dispositif de gestion de crise cyber : les données exfiltrées sont trouvées sur deux partages SharePoint à usage individuel (créés via Teams). Ces dossiers comportent peu de données, et ont été isolés dès leur identification mardi 22 août 2023, respectivement à 16h00 et 18h00.

« Tous les accès à ces SharePoints ont ainsi été bloqués. L’infrastructure SharePoint d’Econocom prévient en outre toute forme de propagation vers d’autres systèmes. Par ailleurs, l’analyse des données exfiltrées ne permet pas à ce jour d’identifier de données sensibles.«

Le mercredi 23 août matin, les investigations montrent qu’un poste utilisateur d’un prestataire d’Econocom en France serait à l’origine de la fuite de données. Le prestataire a immédiatement été contacté pour, en collaboration avec ses équipes, identifier puis bloquer la source de l’attaque et analyser ses impacts exhaustifs.

Le personnel de ce prestataire, qui se connecte à une ressource Econocom par VPN pour récupérer les documents nécessaires à l’exécution de ses missions, est identifié et les accès des postes aux ressources Econocom sont révoqués. Les investigations confirment que les données fuitées sont issues d’un espace de partage chez le fournisseur.

« A ce jour, la piste la plus plausible est ainsi que le prestataire a été compromis et que les données ont été exfiltrées depuis ses infrastructures. Toutefois, les investigations et mesures de confinement se poursuivent chez Econocom pour s’assurer qu’aucun système interne n’a été compromis. » exprime la société.

La réaction de Stormous quelques minutes aprés la diffusion du communiqué de presse d’Econocom. – Capture : zataz

Des pirates de plus en plus agressif !

Le 21 août, Stormous devient agressif : « Nous travaillons pour divulguer le reste des données de l’entreprise, y compris les données des employés, les mots de passe, etc. […] a pu lire le Service Veille ZATAZ, le processus de changement de mots de passe est inutile car nous avons d’autres moyens d’y accéder« . Fanfaronnade des pirates ?

Le 24 août, jour de la publication du communiqué de presse d’Econocom, Stormous en rajoute une couche [pourquoi tant de haine ?]. « En réalité, cette entreprise ne semble pas du tout intéressée à prévenir la fuite de données de clients, partenaires ou employés. Nous avions de nombreuses façons d’y accéder« .

Stormous affirme avoir « actuellement plus de 100 Go de données supplémentaires« . Bluff ? Vraies menaces ? Récupération des fichiers de Pyza ? Les pirates écrivent « la moitié de ces données contiennent des informations sur les employés […] Nous exprimons notre sympathie envers les personnes travaillant pour cette entreprise ou ayant une quelconque relation avec elle. Ces jours-ci, nous ne publions qu’une petite fraction du volume total de données en notre possession, au cas où la direction d’Econocom changerait d’avis et nous contacterait simplement pour résoudre ce problème. » Bref, menace et pression !

Stormous démontre aussi un élément loin d’être négligeable : ils suivent la communication de crise mise en place par les sociétés qu’ils menacent.

Econocom est présent dans 16 pays avec plus de 8 750 collaborateurs.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Les pirates en deuil, Anonfiles est mort

One Comment

Olivier 30/08/2023 at 17:13 Reply

Stormous démontre aussi un élément loin d’être négligeable. Ils suivent la communication de crise mise en place par les sociétés qu’ils menacent…. qu’ils menaces !!??? REALLY ???