La cybersécurité est devenue un enjeu majeur à l’échelle internationale, aussi bien pour les institutions que pour les entreprises et les individus. La Nouvelle-Calédonie n’échappe pas à la règle, et certaines sociétés ont déjà été victimes de cyberattaques. Le 18 août dernier, c’est Lagoon, fournisseur d’accès à Internet calédonien, qui a été la victime de ces pirates du web.
Lors d’une conférence de presse, ce mercredi 2 octobre, Stéphane Mateo, directeur général de Lagoon, a convié les journalistes du Caillou pour revenir en détail sur ce « cyberabordage ». Entre technique informatique, coopérations locales et nationales, communications de crise et projections sur l’avenir de la cyber, Lagoon a suivi les bonnes pratiques et trouvé rapidement des solutions.
__
Branle-bas de combat chez Lagoon
Dans la nuit du 17 au 18 août, les hackers ont déployé leur plan d’attaque en s’introduisant dans le réseau de Lagoon via une cyberarme redoutable : un ransomware de type « Crypto ». Conçu pour bloquer l’accès aux données ou aux systèmes de la victime en les chiffrant, le ransomware exige ensuite une rançon pour redonner l’accès à son propriétaire. À 3h30, l’attaque était lancée, et à 8h, les équipes techniques ont donné l’alerte.
Dès que la brèche a été repérée, c’est une flotte de moyens humains et techniques encadrés dans une cellule de crise, qui a été mobilisée pour sauver le navire. Loin d’être un acte opportuniste, cette attaque, visiblement préméditée, a ciblé les infrastructures d’hébergement de serveurs de Lagoon, et entraîné des interruptions temporaires d’internet et l’indisponibilité du service de messagerie pour les clients particuliers et professionnels.
« Les hackers ont effacé les 4 derniers mois du journal de log de notre serveur, nous n’avons aucune empreinte digitale. Nous sommes donc sûrs que cette attaque a été préparée en amont. »
Stéphane Mateo, à la recherche d’empreintes
Pour contrer cet assaut, Lagoon a hissé les voiles et déployé une stratégie en plusieurs étapes. Dès les premières minutes, la priorité a été d’isoler les systèmes compromis afin d’éviter que les pirates ne puissent pénétrer plus profondément dans l’infrastructure. En parallèle, une cellule de crise s’est donc mise en place et une demande de renfort a été faite auprès de structures locales et nationales.
__
Hissez ho !
Dès le 22 août, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a débarqué tout droit de métropole pour intervenir entre le 22 et le 26 août. Cet équipage ultraspécialisé a pu prendre le contrôle des serveurs affectés grâce à une backdoor, une porte dérobée permettant d’accéder à un réseau sans l’authentification habituelle. Cette contre-attaque a permis de visualiser l’étendue des dégâts et de repérer les éléments impactés.
De son côté, la branche spécialisée en cybersécurité de la gendarmerie, la COMCYBERGEND, a ouvert une enquête judiciaire afin de déterminer l’origine de l’attaque et d’assurer les échanges avec les cybercriminels. Au niveau local, un travail de coopération a été mis en place avec la DINUM, le Centre Cyber du Pacifique et l’entreprise Ikigai, spécialisée dans les audits de sécurité informatique, qui a apporté son expertise à la cellule de crise technique.
En externe, une communication active et transparente a été mise en place, dans un premier temps via les réseaux sociaux, pour informer les Calédoniens et l’ensemble des clients de cette cyberattaque. Une fois la situation sous contrôle, une assistance téléphonique, ainsi que des points d’information dans les boutiques de Port Plaisance et Koné, ont été mis en place. La proximité avant tout, morbleu !
__
Terre en vue pour Lagoon !
Les conséquences pour les utilisateurs n’ont pas été anodines mais loin d’être aussi catastrophiques qu’elles auraient pu l’être. 40 % des abonnés particuliers ont été temporairement privés d’accès à Internet, et ce pendant près de 48 heures, et les services de messagerie « @Lagoon.nc » ont été indisponibles pendant deux semaines. Les clients professionnels hébergés sur les serveurs de Lagoon ont été parmi les plus durement touchés mais seuls 1 % des entreprises ont subi des interruptions de service pouvant aller jusqu’à trois semaines. Concernant le vol de données personnelles, suite ô combien sensible, seule une fuite de dossiers internes a été confirmée jusqu’à présent.
Entre le 26 août et le 19 septembre, les services ont été progressivement restaurés, grâce à l’intervention rapide des équipes et à la collaboration avec les forces de l’ordre. Les systèmes compromis ont été remis en état, sécurisés et tous les services ont été relancés avec des protocoles de sécurité renforcés. À ce jour, l’analyse de l’attaque montre qu’elle aurait été facilitée par une faille dans un pare-feu, créant ainsi une brèche pour les pirates. Quant à l’identité des auteurs, elle reste encore un mystère… Bien que l’enquête soit toujours en cours, il est fort probable que ces pirates se soient déjà évanouis dans les profondeurs du cyberocéan.
« A ce jour nous n’avons pas d’idée de qui est derrière cette attaque ; ce sont les forces de l’ordre qui étaient en contact avec les cyberattaquants. »
Stéphane Mateo dans l’expectative
__
Changement de cap ?
Après les événements du 13 mai qui avaient déjà mis hors service leur centre de secours au Plexus à Ducos, un nouveau coup dur s’est abattu sur le FAI avec cette cyberattaque. Cependant, Stéphane Mateo et ses équipes sont déterminés à tirer les leçons de cette crise. Depuis août, l’entreprise a renforcé ses systèmes de cybersécurité et mis en place des mesures pour sécuriser davantage son infrastructure.
À terme, une stratégie complète sera déployée dans ce domaine, avec des investissements dans des solutions d’hébergement plus robustes, la mise en conformité avec la directive NIS 2 et un effort continu pour améliorer la prévention des attaques. Vous êtes prévenus : le capitaine et son équipage sont résolus à transformer cette tempête en opportunité.
__