Les pirates de Royal Ransomware déroulent leur scénario. Cela fait un mois que la police judiciaire, la direction des systèmes d’information (DSI) de la ville et les experts d’Advens cybersécurité bossent sur l’attaque informatique subie par la municipalité de Lille. Les nouvelles informations divulguées par la ville, ce vendredi, ne sont pas rassurantes et tendent à prouver que Royal Ransomware suit un plan plutôt bien rodé pour se faire payer une rançon dont le montant n’a pas été communiqué. Pour « faire pression » sur sa victime, le gang a notamment diffusé sur le dark Web une partie des données personnelles volées sur les serveurs municipaux.

« Bonjour ! Si vous lisez ceci, cela signifie que votre système a été touché par Royal ransomware », ont pu lire sur leurs ordinateurs les premiers intervenants sur l’attaque informatique diligentée contre la ville de Lille. Un message suivi d’un lien pointant vers le site des pirates sur le darknet, et d’une mise en garde : « Vos données critiques ont non seulement été cryptées, mais également copiées de vos systèmes sur un serveur sécurisé », affirment les pirates, prévenant qu’elles pourront être mises en ligne et utilisées par « n’importe qui sur Internet, des criminels du darknet, des journalistes de l’ACLU, du gouvernement chinois. » Pour éviter cela, il suffit de payer.

Un moyen de pression pour faire payer la ville

De son côté, la mairie a confirmé que « des données susceptibles d’être à caractère personnel avaient été prélevées », qu’elles concernent non seulement des agents municipaux, des élus, mais aussi des citoyens. Selon plusieurs sites spécialisés, le volume de données dérobées est énorme, plusieurs centaines de gigaoctets. Et ces données ne sont pas anodines puisque les pirates disposent désormais de nombreuses adresses électroniques et postales, de numéros de téléphone, de données d’état civil et de données bancaires.









Pour John Fokker, chef des renseignements sur la menace du centre de recherches de l’entreprise de cybersécurité Trellix, diffuser une partie de ces données est stratégique : « On peut imaginer que c’est parce que Royal Ransomware réclame une rançon à la ville de Lille, qu’elle n’a probablement pas payée, et qu’ils font désormais pression sur l’administration de cette manière », explique-t-il à 20 Minutes. C’est en effet la crainte de la mairie, qui incite à la vigilance « toutes les personnes ayant été amenées à lui confier des données personnelles à l’occasion d’une démarche administrative. »

Les données peuvent être vendues sur le Darknet

A quoi s’attendre pour la suite ? « En l’absence de paiement d’une rançon, les données sont susceptibles de rester cryptées et le système informatique inopérant », prévient John Fokker. Si les ordinateurs peuvent être nettoyés du ransomware et réinstallés, la restauration des données dépendra des sauvegardes effectuées par la DSI, en espérant que les serveurs de sauvegarde n’ont pas été infectés.

« La Ville de Lille n’a, à ce stade, pas de raison de penser qu’elle n’est plus en possession de la totalité de ses données », nous explique-t-on. Reste le risque de voir la totalité des données volées vendues sur le Darknet en cas de non-paiement de la rançon.