350 000 entreprises à l'arrêt

Hello,

Aujourd’hui, on vous raconte comment l’IA permet à des personnes malveillantes de pirater des dizaines d’entreprises, entre un deepfake à $25 millions, 350 000 PME paralysées en pleine clôture fiscale, et le plus grand réseau de ransomware au monde démantelé par 10 pays*.

Théo & Nathanaël

*collaboration commerciale avec Orange

Janvier 2024, Hong Kong.

Un employé du département financier d’Arup reçoit un e-mail de son directeur financier, basé à Londres. Objet : un virement confidentiel à effectuer d’urgence.

L’employé hésite. Ça ressemble à du phishing, cette technique qui consiste à se faire passer pour quelqu’un de confiance pour que vous baissiez votre garde.

Puis il reçoit une invitation à un appel vidéo. Son CFO est là. Ses collègues aussi. Tout le monde confirme l’opération, et lui demande la faire au plus vite.

Il exécute les virements. $25 millions sur 5 comptes.

Mais ce qu’il ne sait pas, c’est que chaque personne sur cet appel était un deepfake.

À suivre :

Arup est un cabinet d’ingénierie mondial. 18 000 employés. Parmi ses réalisations, on compte l’Opéra de Sydney et le Nid d’Oiseau de Pékin.

Les criminels ont utilisé des vidéos publiques des dirigeants pour générer des deepfakes en temps réel. Le CFO, les collègues, les voix : tout était synthétique. L’employé a participé à un appel vidéo où pas une seule personne n’était réelle.

La fraude n’est découverte que lorsqu’il contacte le vrai siège à Londres. Personne n’était au courant.

En février 2024, la police de Hong Kong confirme l’affaire.

Aucun système informatique n’a été piraté. Aucune mot de passe n’a fuité. C’est la confiance humaine qui a été exploitée.

La technologie utilisée est de plus en plus accessible. Les outils de deepfake en temps réel se sont démocratisés depuis 2023. En quelques minutes, vous pouvez cloner le visage et la voix de votre voisin. Ce qui relevait de la science-fiction il y a cinq ans est aujourd’hui à la portée de n’importe quel groupe criminel organisé.

Arup a 18 000 employés, des protocoles de sécurité, et un département financier structuré. Face à un deepfake, ça n’était pas suffisant.

Un deepfake vidéo, c’est spectaculaire. Mais la plupart des cyberattaques commencent beaucoup plus simplement.

En fait, un simple email suffit souvent.

Aujourd’hui, l’IA permet de rédiger des emails de phishing quasi indétectables. Collecter des informations publiques sur un dirigeant ne prend que quelques minutes : LinkedIn, site corporate, interviews, signatures d’emails. À partir de là, ça devient simple d’imiter son style d’écriture, de cibler le bon interlocuteur, et de choisir le moment parfait.

Le résultat, c’est un email qui reproduit exactement le ton de votre directeur financier. Une facture qui tombe au milieu de 50 vraies factures. Un lien qui ressemble à s’y méprendre à celui de votre banque. Avant, le phishing ressemblait à du spam avec des fautes d’orthographes grossières. Aujourd’hui, le phishing augmenté par l’IA ressemble à un message de confiance.

Un email signé du bon nom, envoyé le bon jour, suffit à déclencher un virement, un clic sur un lien piégé, ou l’ouverture d’une pièce jointe qui installe un ransomware.

Imaginez : votre comptable reçoit un email de votre PDG un vendredi soir. Urgence sur un virement fournisseur. Tout correspond. Le style, la signature, le numéro de référence. Le PDG est en déplacement, injoignable. Le virement part. Lundi matin, il est trop tard.

Pour éviter ça, les grands groupes ont des SOC, des équipes de cybersécurité dédiées, des protocoles de double validation. Les PME et ETI, rarement. Elles n’ont pas de cellule de crise. Pas de formation régulière au phishing. Pas de plan de réponse en cas d’incident. Et pourtant, ce sont elles qui constituent la majorité du tissu économique.

Le problème, c’est qu’une erreur humaine au mauvais moment peut paralyser toute une chaîne de valeur. En un clic, c’est des centaines d’entreprises, des milliers de salariés qui se retrouvent paralysés.

C’est exactement ce qui s’est passé en décembre 2023.

7 décembre 2023, Lot-et-Garonne.

Un client de COAXIS ouvre un e-mail de phishing, et tombe dans le panneau. En seulement quelques clicks, il vient de donner accès à son ordinateur et toutes les connexions liées.

Dans la nuit, le ransomware LockBit 3.0 s’infiltre dans les serveurs de COAXIS.

COAXIS est une ESN qui héberge les données de plus de 1 200 cabinets d’expertise-comptable. Après quelques heures, 25% des systèmes sont chiffrés. Les accès SaaS, coupés. Les e-mails ne fonctionnent plus.

Le timing est catastrophique. Décembre, c’est la clôture fiscale, les paies de fin d’année, les déclarations sociales. Les cabinets ne peuvent plus rien traiter. Ni pour eux, ni pour leurs clients.

Par effet domino, 350 000 entreprises se retrouvent paralysées.

LockBit demande une rançon de 5 millions pour libérer tout le système. Pour augmenter la menace, ils lancent un compte à rebours sur le dark web. Si la rançon n’est pas payée, le 9 janvier 2024, toutes les données privées des clients de COAXIS seront dévoilées sur Internet.

Mais COAXIS prend une décision. Ils ne paieront pas.

Orange Cyberdefense, partenaire historique de COAXIS, est mobilisé dès les premières minutes. Sur le terrain, Guillaume Pauls, incident manager, prend les commandes. Les équipes travaillent jour et nuit pour isoler les machines infectées, analyser les traces de l’attaque et restaurer les services.

Le 11 décembre, les premiers cabinets retrouvent un accès partiel. Le 29 décembre, 80% des services sont rétablis. Au 31 décembre, c’est 95%.

COAXIS avait mis en place des sauvegardes isolées. Aucune donnée client n’a fuité. Le 26 décembre, Lockbit publie des archives en prétendant détenir des données sensibles. En réalité, seules des données techniques d’infrastructure ont été exfiltrées. Leur menace et le compte à rebours ne sont que de l’intimidation.

Mais COAXIS n’était pas un cas isolé. Derrière l’attaque se cache le réseau de ransomware le plus prolifique au monde.

LockBit. Actif depuis 2019. Plus de 2 000 victimes. Plus de $120 millions de rançons collectées. Des milliards de dégâts. Parmi les cibles : Boeing, la banque chinoise ICBC, Royal Mail au Royaume-Uni.

Ils ont créé un modèle unique, le « Ransomware-as-a-Service ». LockBit développe le logiciel et le loue à des affiliés qui mènent les attaques. Les affiliés choisissent les cibles, exécutent les intrusions, négocient les rançons. Le cerveau du réseau, Dmitry Khoroshev, prélève 20% de chaque paiement. Lockbit est la première franchise criminelle avec un organigramme, des règles internes et un service client pour les victimes.

Mais les autorités ne restent pas sans réagir.
20 février 2024. Opération Cronos.

Une coalition de 10 pays, coordonnée par Europol, le FBI et la National Crime Agency britannique, frappe simultanément. La porte d’entrée : une faille PHP dans les propres serveurs de LockBit. Les policiers retournent les armes du groupe contre lui.

En quelques heures, c’est 34 serveurs saisis. 14 000 comptes fermés. 200 comptes en cryptomonnaies gelés.

Mais surtout, un beau coup de théâtre : le site dark web de LockBit est remplacé par une page aux couleurs de la police. Même design. Même compte à rebours. Sauf que cette fois, il mène vers la conférence de presse des enquêteurs. Quand les affiliés se connectent, un message personnalisé les attend : “Nous savons qui vous êtes.”

Trois mois plus tard, le Département de la Justice américain démasque Khoroshev. 26 chefs d’inculpation. $10 millions de récompense.

LockBitsUpp tente de relancer un site en moins d’une semaine, mais sa crédibilité est morte. Les affiliés ont fui. En octobre 2024, quatre nouvelles arrestations ont lieu en France, au Royaume-Uni et en Espagne.

Toute cette histoire fait l’objet d’un documentaire de 50 minutes.

Il a été réalisé par Ludoc, connu pour ses enquêtes long format, et produit par IDZ, la filiale de Webedia derrière des projets comme Kaizen.

Le film s’appelle « Don’t Go to the Police ». Il retrace l’attaque COAXIS, l’enquête et la chute de LockBit à travers des interviews exclusives et des scènes reconstituées.

Parmi les intervenants, on retrouve Hugues Foulon (CEO d’Orange Cyberdefense), Micode, Rodrigue Le Bayon (directeur du CERT mondial d’OCD), Joseph Veigas (CEO de COAXIS), Julie Benoit (unité cybercriminalité), Jérôme Notin (Cybermalveillance.gouv), et des experts internationaux dont Jon DiMaggio, en lien direct avec le FBI.

La cybersécurité n’est plus un sujet réservé aux grands groupes. Les PME sont les premières cibles, et les conséquences sont immédiates : activité à l’arrêt, données perdues, clients impactés. Orange Cyberdefense, qui a géré la crise COAXIS de bout en bout, accompagne aussi les entreprises de toutes tailles dans leur protection.

Le documentaire est disponible dès maintenant sur les chaines youtube de Ludoc et d’Orange.