Que s’est-il passé le dimanche 18 août ?

Il est 3h30 du matin, dimanche 18 août, lorsqu’une cyberattaque par rançongiciel "de type Crypto" est déclenchée contre le fournisseur d’accès internet Lagoon. L’attaque cible les infrastructures d’hébergement des serveurs et chiffre les données devenues inaccessibles pour l’opérateur. "Elle est détectée par nos équipes à 8 heures", relate Stéphane Matéo, directeur général de Lagoon. Seul document accessible : une note de rançon glissée dans le système, dans laquelle les pirates informatiques exigent le versement d’une certaine somme (que Lagoon garde secrète) en cryptomonnaie en échange du déchiffrement de ces données. Rapidement, ""on déconnecte les serveurs et on limite tous les accès pour éviter le suraccident" et la propagation du logiciel malveillant à d’autres parties du réseau.

Internet, messagerie et serveurs rendus inaccessibles

En s’attaquant aux serveurs d’hébergement, les pirates informatiques ont provoqué l’indisponibilité des sites de Lagoon pendant deux semaines, entraîné des interruptions d’internet pendant près de 48 heures pour "environ 40 % de nos abonnés", privé les abonnés du service de messagerie de l’opérateur durant deux semaines et rendu inaccessible les serveurs hébergés chez Lagoon "pour 1 % des clients professionnels pendant trois semaines". À ce jour, l’ensemble des services ont été rétablis. "Nous aurions pu remettre en route certains services plus tôt, mais on a voulu s’assurer qu’ils n’étaient vraiment pas touchés, ce qui peut être très long, comme pour la messagerie où le volume de données à traiter est conséquent", explique Stéphane Matéo.

Des moyens inédits déployés

Très vite, la direction de Lagoon alerte les autorités de l’attaque en cours et leur remet la note de rançon rédigée par les pirates. Dès le 22 août, une équipe de l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) est envoyée depuis l’Hexagone. "Quatre jeunes très doués", souligne Stéphane Matéo, prennent le contrôle des opérations et permettent aux équipes de Lagoon de récupérer l’accès aux serveurs. L’occasion de mesurer l’étendue de l’attaque et d’identifier les éléments concernés. "On s’est rendu compte qu’ils avaient probablement infiltré notre système plusieurs semaines avant le déclenchement de l’attaque."

Qui se cache derrière cette attaque ?

En parallèle, la branche de la gendarmerie spécialisée en cybercriminalité (Comcybergend) ouvre une enquête judiciaire pour tracer l’origine de l’attaque. Les gendarmes échangent avec les cybercriminels, sous le nom de Stéphane Matéo, pour tenter d’en apprendre davantage sur leur profil et leur localisation. Les autorités sont parvenues "à remonter jusqu’à un point à Détroit", aux États-Unis, sans pouvoir confirmer qu’il s’agissait bien du lieu d’où est partie l’attaque. À ce jour, l’identité et la position des pirates informatiques sont toujours inconnues. "C’est très compliqué de retrouver des hackers", fait remarquer Stéphane Matéo, qui n’a plus de nouvelle de la gendarmerie "depuis deux semaines".

Alors que la Nouvelle-Calédonie est affaiblie par une crise politique et économique sans précédent, l’hypothèse d’une ingérence étrangère a également été envisagée au déclenchement de l’attaque. Une puissance étrangère hostile pourrait-elle en être à l’origine ? Le directeur général de Lagoon en doute fortement. Stéphane Matéo y voit plutôt l’action d’un réseau de pirates informatiques rompus à l’exercice, qui mènent "une veille médiatique" pour identifier leurs nouvelles victimes. Le contexte insurrectionnel, ajouté à l’incendie du Plexus à Ducos dans lequel se trouvaient un certain nombre d’infrastructures de Lagoon, aurait pu faire du fournisseur d’accès calédonien une cible idéale.

Quid des données personnelles ?

Une question a rapidement inquiété un certain nombre d’abonnés de Lagoon dès l’annonce de la cyberattaque : l’incident a-t-il provoqué la fuite de leurs données personnelles ? "Tout porte à croire que ce n’est pas le cas, mais nous n’avons pas la preuve formelle du contraire", explique prudemment Stéphane Matéo. Seule certitude : les pirates informatiques ont dérobé "850 gigas de données en moins de 6 heures" relevant uniquement d’informations internes.

Renforcer la cybersécurité

Maintenant que Lagoon est de nouveau entièrement opérationnel, il est temps d’entamer "la reconstruction" et la sécurisation de son réseau. L’accès au système, interne comme externe, a d’ores et déjà été revu pour assurer un contrôle plus strict des entrées. "Lagoon a mis en place un plan d’amélioration continu pour renforcer durablement la sécurité de ses services", assure l’opérateur. Les systèmes "en fin de vie" et dont l’intégrité est encore mise en doute sont progressivement remplacés par une nouvelle solution d’hébergement et de sauvegarde, "plus résiliente et sécurisée".

Le fournisseur d’accès internet entend également adopter les directives "NIS 2", législation européenne pas encore applicable en Nouvelle-Calédonie qui impose des mesures de cybersécurité plus exigeantes pour assurer l’intégrité des réseaux et des systèmes d’information. La sensibilisation des employés comme des clients a aussi été identifiée comme un axe majeur de lutte contre le risque de cyberattaque, notamment par hameçonnage, une technique régulièrement utilisée pour pousser les internautes à communiquer des données personnelles. Un ensemble de moyens développés pour limiter une menace mondiale grandissante, à laquelle la Nouvelle-Calédonie n’échappe pas.