Le gang de rançongiciel BianLian affirme qu’Air Canada n’a pas été franc sur la quantité de données volées lors de la cyberattaque du mois dernier.
Le mois dernier, la compagnie aérienne a déclaré qu’un attaquant « avait brièvement obtenu un accès limité à un système interne d’Air Canada lié à des informations personnelles limitées sur certains employés et à certains dossiers ». La déclaration ne précise pas la quantité de données copiées.
Mais cette semaine, pour tenter de faire pression sur la compagnie aérienne, le gang a déclaré sur son site de fuite de données que la compagnie « ne dit que des demi-vérités. Les données personnelles des employés ne représentent qu’une petite fraction des données précieuses sur lesquelles elle a perdu le contrôle. Par exemple, nous avons des bases de données SQL contenant des problèmes techniques et de sécurité de l’entreprise ».
Le gang prétend détenir des données techniques et opérationnelles d’Air Canada de 2008 à 2023, des informations sur les problèmes techniques et de sécurité de l’entreprise, des sauvegardes SQL et des documents confidentiels non spécifiés ainsi que des données personnelles des employés.
Pour preuve, il a publié une capture d’écran des noms de fichiers prétendument volés, et des échantillons peuvent être consultés.
Brett Callow, un analyste des menaces pour Emsisoft basé en Colombie-Britannique qui a republié le message du gang sur X, ne sait pas si les données répertoriées proviennent réellement d’Air Canada.
Sollicitée pour des commentaires, Air Canada a publié cette déclaration mercredi après-midi : « BianLian avait menacé de recourir à l’exploitation des médias dans ses efforts d’extorsion infructueux. Pour cette raison, nous ne pouvons commenter aucune affirmation formulée par un groupe anonyme basée sur la cybercriminalité et nous n’ajouterons rien à ce que nous avons dit publiquement. Nous sommes convaincus que les médias prendront en compte cette question et rendront compte de questions telles que celle-ci de manière responsable. »
Le gang essaie également de se présenter sous un bon jour, affirmant qu’il n’a pas installé de rançongiciel, mais qu’il a seulement volé des données. « Conscients des dommages potentiels, nous n’avons causé aucun dommage à l’infrastructure ou aux ressources internes [d’Air Canada], il s’agit d’une opération d’exfiltration de données uniquement », indique le message.
Comme beaucoup d’autres gangs de rançongiciel, BianLian a une double stratégie d’extorsion, copiant les données et menaçant de les vendre ou de les céder, et cryptant autant de serveurs que possible. Les organisations sont alors contraintes de payer pour récupérer les données volées ainsi que pour obtenir les clés de décryptage.
Cependant, a déclaré Brett Callow, depuis la fin de l’année dernière, l’entreprise a cessé de chiffrer les données des victimes et se concentre sur le vol d’informations. Ou bien, a-t-il ajouté, il se peut qu’il continue à lancer des attaques de rançongiciel, mais sous un nom différent.
Il peut y avoir plusieurs raisons à ce changement de stratégie, a-t-il déclaré : le gang peut penser que superviser le code de cryptage et gérer les clés de décryptage « n’est pas nécessaire pour réaliser des bénéfices ». Il peut également espérer que le simple vol de données fera du gang une cible moins importante pour les forces de l’ordre, qui se lancent dans des attaques très médiatisées. Et BianLian peut espérer que les organisations auront « moins d’objection morale » à payer ce qui est perçu comme strictement un groupe criminel plutôt qu’un gang de rançongiciel.
Cependant, a reconnu Brett Callow, le fait de payer une rançon à un groupe criminel encourage toujours les cyberattaques.
Adaptation et traduction française par Renaud Larue-Langlois.
