Dans un communiqué de presse publié le 16 février 2022, l’ICRC (International Commitee of the Red Cross) a divulgué de nombreux détails au sujet de la cyberattaque qui a frappé La Croix-Rouge il y a un mois. Il s’agit d’une opération chirurgicale qui laisse penser qu’un acteur étatique pourrait être à l’origine de l’attaque.

Les soupçons se tournent vers un acteur étatique

Fin janvier 2022, les serveurs hébergeant les données personnelles appartenant à plus de 515 000 personnes dans le monde ont été piratés lors d’une cyberattaque sophistiquée. Après un mois d’analyses, l’ICRC est désormais en mesure de partager les détails de cette cyberattaque. Dans le communiqué de presse de l’organisation humanitaire, on apprend que « les pirates ont fait appel à des ressources considérables pour accéder à nos systèmes informatiques et ont utilisé des tactiques que la plupart des outils de détection n’auraient pas détectées ».

Les outils utilisés par les hackers en question sont généralement utilisés par des groupes dits « avancés ». Ils ne sont pas disponibles publiquement, comme c’est le cas des ransomwares avec la tendance croissante du RaaS (ransomware-as-a-service). Les conclusions de l’ICRC et le haut niveau de compétences dont disposent les hackers derrière cette cyberattaque laissent penser qu’un acteur étatique pourrait être à l’origine de l’opération. On peut lire que « les attaquants ont créé un morceau de code conçu uniquement pour être exécuté sur les serveurs de La Croix-Rouge ».

515 000 personnes référencées dans les systèmes informatiques de la Croix-Rouge sont concernées

L’anomalie a été détectée environ 70 jours après l’attaque, le 18 janvier 2022. L’analyse montre que la violation a eu lieu le 9 novembre 2021. L’ICRC précise que « la détection d’une violation aussi importante et complexe prend généralement du temps. Le délai moyen pour identifier une violation de données de ce niveau est de 212 jours. Dans son communiqué de presse, la Croix-Rouge a réitéré son appel aux pirates à « ne pas partager, vendre, divulguer ou utiliser ces données de quelque manière que ce soit ». Comme aucune rançon n’a été réclamé, on peut malheureusement penser que les données risquent de fuiter.

Les hackers ont obtenu des noms, adresses postales et coordonnées téléphoniques de 515 000 personnes à travers le monde. Parmi les personnes concernées, la Croix-Rouge précise qu’il y a des personnes disparues ainsi que leur famille, des détenus et d’autres personnes bénéficiant des services du mouvement de la Croix-Rouge et du Croissant-Rouge à la suite d’un conflit armé ou d’une catastrophe naturelle. Pour le moment, aucune trace de ces données n’a été retrouvée sur le dark web.

L’ICRC assure que des améliorations vont être apportées aux systèmes de sécurité, notamment la mise en place d’un nouveau processus d’authentification à deux facteurs et l’utilisation d’une solution avancée de détection des menaces.