La cyberattaque est survenue fin avril, avant d’être revendiquée une semaine plus tard, par les opérateurs du ransomware. Les dégâts ont été limités, mais l’occasion est toutefois saisie de relever le niveau de sécurité de la fédération. Ce 5 mai au matin, neuf nouvelles victimes viennent s’ajouter à celles déjà exhibées par les opérateurs du ransomware Avaddon, représentant sept pays. Dont la France. La Fédération CINOV figure dans le lot, avec quelques données personnelles en guise d’illustration. À cela s’ajoute la menace d’attaques en déni de service distribué ( DDoS ), comme c’est désormais rituel pour Avaddon, et bien sûr de divulgation des données volées à l’occasion de l’attaque. Le volume considéré là n’est pas précisé. Une demi-surprise quand on constate que les opérateurs du rançongiciel Avaddon ne sont pas toujours des plus sérieux dans leurs attaques : les victimes auxquelles ils dérobent plusieurs centaines de giga-octets de données apparaissent rares, et souvent, leur butin n’atteint pas même le giga-octet !
Jointe par téléphone, Estelle Mottet, responsable de la communication et des relations presse de la Fédération CINOV, reconnaît la réalité de la cyberattaque et explique que la détonation du ransomware est survenue dans le courant de la dernière semaine d’avril. Elle précise également que la CNIL a été informée et qu’une plainte est sur le point d’être déposée.
Mais les dégâts apparaissent très limités : « notre système d’information n’a, en lui-même, pas été touché. C’est un espace de stockage commun [aux collaborateurs de la fédération] qui a été concerné ». L’espace adhérents a été visé par les assaillants, mais en vain, et aucune donnée sensible – ni liée aux adhérents – n’a été dérobée, assure Estelle Mottet.
Un poste de travail d’un salarié de la CINOV a été utilisé dans la chaîne d’attaque, mais le point d’entrée exact des attaquants n’a pas encore été déterminé. L’éventualité d’un lien avec l’attaque ayant visé plus tôt Gecos n’est d’ailleurs pas exclue : « certains membres du personnel étaient en échange avec eux pour des formations ».
Selon nos informations, le ransomware utilisé contre Gecos n’est pas Avaddon. Mais cela ne garantit pas qu’il n’y ait pas pu y avoir de lien entre les deux incidents, ne serait-ce que pour l’accès initial.