A la mi-août, CloudNordic – filiale cloud du groupe danois Certqa Holdings dont une autre société, Azero, a également été touchée – a subi l’attaque dévastatrice d’un ransomware. L’attaque a chiffré les données de tous les serveurs, qu’il n’a pas été possible de récupérer. Quasi toutes les données de ses clients sont perdues…
Chez DCmag, depuis notre origine nous cherchons à vous sensibiliser sur les dangers liés à la cybersécurité dans les datacenters. Certains pensent que les risques liés aux cyberattaques relèvent non pas de l’opérateur mais de son client. Au-delà de cette vision tronquée de la responsabilité, penchons nous sur le cas dramatique de CloudNordic, le service cloud danois dont le datacenter a perdu TOUTES les données de ses clients.
Dans un message publié sur son site web, le danois CloudNordic résume très simplement son histoire : « Les attaquants ont réussi à chiffrer les disques de tous les serveurs, ainsi que les systèmes de sauvegarde principal et secondaire, ce qui a fait planter toutes les machines et nous avons perdu l’accès à toutes les données.«
Comme souvent dans ce genre d’affaire, on ignore comment l’attaque s’est produite. Malgré la présence d’un parefeu et d’un antivirus, des machines étaient infectées par un ransomware, mais il semble que celui-ci ne s’était pas déclaré.
Mais voilà que des systèmes ont été déplacés d’un datacenter à un autre, les deux étant câblés via le réseau interne de l’entreprise. Le ransomware a ainsi été déplacé vers une zone où il a pu s’activer, accéder aux systèmes d’administration et de sauvegarde, et infecter tous les serveurs.
Les données sur les serveurs et les systèmes de sauvegarde ont été chiffrées, et le ransomware s’est fait connaitre en exigeant le paiement d’une rançon de quelques bitcoins, pour une valeur d’environ 1,5 million de dollars. Que CloudNordic a refusé de payer.
Mais les données n’ont pas pu être récupérées. Ce qui se traduit par la perte des données CloudNordic et de ses clients. Et par l’impossibilité de les récupérer puisque les sauvegardes ont également été victimes de l’attaque. Pour résumer, CloudNordic à perdu TOUTES les données de ses clients !
A ceux qui diront que l’opérateur aurait pu payer la rançon, nous répondrons que la ligne dure s’impose face aux systèmes mafieux, et que le paiement éventuel ne permet de récupérer et d’activer les clés de chiffrement que dans environ un tiers des cas…
Ce qu’il faut retenir de cette triste histoire, qui n’a certainement pas fini de faire parler d’elle, c’est que la menace est réelle, que la protection intégrale n’existe pas, que les cyber-pirates sont en permanence à la recherche et à l’attaque sur la faille qui leur permettra de pénétrer votre système ou celui de votre client, et que le risque demeure, quoi qu’il arrive.
Petit rappel : le Gartner estime que dans une PME/ETI le prix d’une interruption d’activité (comme celle de l’attaque subie par CloudNordic) s’élève à 5 600 $ la minute. IBM a estimé le coût global de cette interruption à 3,92 millions $. Enfin, dans le cadre du RGPD, le texte reconnait la responsabilité du partenaire de l’organisation en cas de vol ou perte de données.
La question n’est pas de savoir si vous allez être attaqué, mais quand ? Pour CloudNordic, c’est fait, et les clients paient le prix fort, celui de leurs données perdues. Et le sachant vulnérable, les cyber-pirates ne manqueront pas de continuer à s’attaquer à lui…