Rechercher
  • CyberDetection

Le célèbre cabinet d’avocats Grubman Shire Meiselas & Sacks victime de pirates informatiques

Article paru dans Le Monde, le 15/05/2020 par Martin UNTERSINGER


Les malfaiteurs réclament 42 millions de dollars de rançon et menacent de divulguer les documents subtilisés au cabinet new-yorkais, qui compte parmi ses clients Lady Gaga, LeBron James ou encore Facebook.


Des pirates informatiques ont pris pour cible le célèbre cabinet d’avocat new-yorkais Grubman Shire Meiselas & Sacks et y ont déployé un rançongiciel, rendant de nombreuses données numériques inaccessibles. Ils réclament une rançon astronomique de 42 millions de dollars pour les déverrouiller.

L’information, initialement révélée dans la presse américaine, a été confirmée lundi 11 mai par le cabinet. « Nous sommes victimes d’une cyberattaque. Nous avons averti nos clients et nos équipes. Nous travaillons non-stop pour résoudre le problème », a déclaré un porte-parole dans un communiqué. Selon le New York Post, le FBI mène l’enquête.

Faute de paiement de la rançon, les pirates menacent, par ailleurs, de publier en ligne certains documents issus de leur butin, qui pourraient représenter plusieurs centaines de gigaoctets de données.


Un poids lourd du monde du divertissement et des médias


Un cabinet d’avocats détient par nature des documents très confidentiels : accords juridiques, contrats, négociations… Et Grubman Shire Meiselas & Sacks n’est pas n’importe quel cabinet d’avocat : la fuite de données confidentielles issues de sa clientèle pourrait avoir d’importantes répercussions. La liste de ses clients se lit, au choix, comme l’affiche d’un concert d’anthologie (AC/DC, Bruce Springsteen, Elton John, Lady Gaga, Drake, U2, Usher…), un casting de cinéma inédit (Spike Lee, Kate Upton, Robert de Niro, Naomi Campbell) ou une équipe sportive de renom (LeBron James, Colin Kaepernick, Cam Newton, Mike Tyson). Parmi les entreprises clientes du cabinet figurent également Activision, HBO, MTV, Samsung, Universal, Sony et Facebook.

Les pirates auraient déjà commencé à publier une toute petite partie de ses documents, pour prouver leur crédibilité et accentuer la pression sur leur victime. Ces publications auraient été faites sur leur site Internet et sur la plate-forme d’hébergement en ligne Mega, selon une capture d’écran transmise au Monde par une source au sein d’une entreprise de cybersécurité. La date exacte du piratage demeure inconnue, mais le site du cabinet a été modifié de manière à ce que n’apparaissent plus les noms des clients et de ses membres entre le 8 et le 10 mai, selon des archives du site.


« Cyberterroristes étrangers »


Dans un second communiqué, transmis au New York Post jeudi 14 mai, le cabinet décrit ses agresseurs comme des « cyberterroristes étrangers », qui l’ont attaqué « malgré [ses] importants investissements en matière de sécurité » et réclamant, désormais, « une rançon de 42 millions de dollars ». Il qualifie d’« abjecte » la fuite de documents confidentiels de ses clients et ne semble pas prêt à négocier : « nous avons été informés par nos experts et le FBI que négocier ou payer une rançon à des terroristes est une infraction criminelle. Et même lorsque des sommes énormes sont versées, ils publient quand même les documents », poursuit le cabinet dans son communiqué.

« Dans cette situation, les entreprises n’ont aucune bonne solution. Même s’ils paient la rançon, il n’y a aucune garantie que les criminels détruisent les données, surtout si celles-ci ont une valeur importante. Les données peuvent ainsi être vendues ou échangées », explique Brett Callow, analyste au sein de l’entreprise spécialisée en rançongiciels Emsisoft.

« L’intention des criminels dans ce genre de cas est simplement de gagner de l’argent, pas de publier les données. S’ils finissent par le faire, cela signifie qu’ils ont perdu. Ils le font alors en guise d’avertissements pour leurs prochaines victimes », poursuit M. Callow.


Un rançongiciel conçu par des experts


Selon plusieurs sources, le rançongiciel déployé dans les réseaux du cabinet d’avocats serait Revil (aussi connu sous le nom de Sodinokibi). Cette souche serait issue de développeurs experts en la matière : ceux de Gandcrab, qui ont réussi à soutirer, entre janvier 2018 et mai 2019, deux milliards de dollars à leurs nombreuses victimes.

Revil a été vu pour la première fois au printemps dernier et infecte ses victimes de multiples façons : en passant par l’hébergeur de leur site Internet ou de leurs outils numériques, en compromettant des sites de téléchargement de logiciels, par le biais d’e-mails malveillants… Il a notamment visé, l’année dernière, la société de change britannique Travelex, qui avait accepté de payer plus de 2 millions de dollars de rançon.

Difficile à ce stade d’en déduire quoi que ce soit sur les responsables de l’attaque contre Grubman Shire, dans la mesure où un même rançongiciel peut être utilisé par plusieurs groupes mafieux.

Cette attaque confirme, en tout cas, la tendance de certains opérateurs de rançongiciels à non seulement rendre inaccessibles de précieux fichiers et de réclamer une rançon, mais d’accentuer la pression en menaçant de publier certains documents. Le groupe français Bouygues avait fait les frais, en février, d’un autre groupe de hackeurs, dont les méthodes mafieuses semblent faire école.


À LIRE AUSSI :

Le tribunal de Paris a été la cible d'un vaste piratage informatique

LA CYBERSÉCURITÉ POUR PETITES ET MOYENNES ENTREPRISES

DÉTECTION PAR ANTICIPATION

DES CYBERMENACES

Logo_journal_de_la_cybersécurité.png

L'actualité Cybersécurité &

Les nouveautés CyberDetection !