Skip to content
CBCyber Breaches
Recherche
RançongicielContenu

Rançongiciel Rhysida contre la British Library (2023)

Les opérateurs du rançongiciel Rhysida ont détruit des serveurs, exigé environ 600 000 £ et divulgué 600 Go de données internes lorsque la British Library a refusé de payer. Le catalogue principal n'est revenu en ligne — en lecture seule — qu'en janvier 2024. La reprise absorbe 40 % des réserves financières de la bibliothèque.

Victime
British Library
Perte
$8.5M
SecteurGouvernementÉducation
PaysRoyaume-Uni
GroupeRhysida

Fin octobre 2023, la British Library — la bibliothèque nationale du Royaume-Uni, gardienne du dépôt légal de chaque livre publié en Grande-Bretagne — a été mise hors ligne par le rançongiciel Rhysida. Cela est devenu l'une des reprises cyber les plus douloureusement prolongées de l'histoire du secteur public britannique, et l'ouverture de la bibliothèque sur les causes de l'incident a depuis façonné la manière dont d'autres institutions patrimoniales se préparent aux rançongiciels.

Ce qui s'est passé

Rhysida est une opération Ransomware-as-a-Service apparue pour la première fois en mai 2023. Ses affiliés ciblaient des infrastructures critiques — écoles, hôpitaux, ministères — et la British Library correspondait au schéma.

La revue post-incident de la bibliothèque elle-même a conclu que l'accès initial provenait très probablement d'un hameçonnage, harponnage ou force brute facilité par une compromission d'identifiants d'un contractant tiers, aggravée par l'absence d'authentification multifacteur sur ces comptes tiers. Une fois à l'intérieur, les affiliés de Rhysida ont détruit des serveurs pour entraver la reprise et l'analyse forensique — une signature destructive inhabituelle à l'époque mais de plus en plus courante depuis.

Rhysida a exigé 20 BTC (~596 000 £) et a listé la British Library sur son site de fuite. La bibliothèque a refusé de payer ; en novembre 2023, Rhysida a publié en ligne environ 600 Go de matériel volé, dont des dossiers RH et des documents opérationnels internes.

La reprise technique a exposé un problème plus profond : des décennies d'informatique patrimoniale accumulée qui rendaient impossible une simple migration vers le cloud sans refonte. Le catalogue principal de la bibliothèque n'est revenu que le 15 janvier 2024, et encore uniquement en lecture seule. La reprise absorbe environ 40 % des réserves financières de la bibliothèque (~6 à 7 millions de livres sterling).

Impact

  • Catalogue en ligne et la plupart des services numériques hors ligne pendant des mois.
  • ~600 Go de données internes divulguées publiquement.
  • Coût de reprise estimé entre 6 et 7 M£ (~40 % des réserves financières).
  • Déclenchement d'un programme de modernisation stratégique sur 18 mois (« Rebuild & Renew »).

Pourquoi cela compte

La British Library a fait trois choses rares après l'attaque : elle a refusé de payer, elle a publié une revue post-incident détaillée et elle a largement partagé les leçons afin que d'autres institutions puissent en tirer parti. Le cas est désormais un point de référence pour ce que le rançongiciel peut faire à des institutions publiques limitées en trésorerie et dépendantes d'informatiques patrimoniales — et pour l'exposition spécifique des comptes de contractants tiers sans MFA.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
8.5M
USD · 8 500 000 $US
Rançon demandée
$750.0K
Rançon payée
Refusée
  • Remédiation$8.5M

Chronologie

  1. Les opérateurs du rançongiciel Rhysida déclenchent leur charge contre les systèmes de la British Library, chiffrant des serveurs et exfiltrant des données. Les catalogues en ligne de la bibliothèque tombent hors ligne.

  2. Rhysida exige 20 BTC (~596 000 £ à l'époque) et menace de publier les données dérobées.

  3. La bibliothèque refuse de payer ; Rhysida publie environ 600 Go de données internes, incluant des dossiers RH et des documents opérationnels.

  4. La bibliothèque passe de la gestion de crise à un programme formel « Rebuild & Renew » — un effort de modernisation stratégique sur 18 mois.

  5. Le catalogue principal revient en ligne en lecture seule. La plupart des autres services demeurent indisponibles pendant des mois.

  6. Coûts de reprise estimés entre 6 et 7 M£, soit environ 40 % des réserves financières de la British Library.

Sources

  1. en.wikipedia.orghttps://en.wikipedia.org/wiki/British_Library_cyberattack
  2. computerweekly.comhttps://www.computerweekly.com/news/366566355/British-Library-catalogues-back-online-after-ransomware-attack
  3. computerweekly.comhttps://www.computerweekly.com/news/366573453/British-Library-opens-up-over-ransomware-attack-to-help-others
  4. theregister.comhttps://www.theregister.com/2024/03/11/british_library_slaps_the_cloud/

Incidents liés

RançongicielContenu

Rançongiciel LockBit chez Westpole — panne de l'administration publique italienne (2023)

LockBit 3.0 a chiffré les centres de données du fournisseur cloud italien Westpole, mettant hors service la plateforme Urbi de PA Digitale — qui dessert 1 300 administrations publiques italiennes, dont 540 communes, la présidence du Quirinale, l'ISTAT, la Banque d'Italie et le ministère de l'Environnement. Paie, services aux citoyens et flux de travail des collectivités ont été dégradés pendant des semaines.

Victim
Westpole / PA Digitale (plateforme Urbi)
RançongicielContenu

Rançongiciel Play chez Xplain et fuite de documents fédéraux suisses (2023)

Le rançongiciel Play a compromis le prestataire suisse de services informatiques Xplain, exfiltrant 1,3 million de fichiers. Environ 65 000 documents appartenant à l'Administration fédérale suisse — y compris des contenus classifiés, des données personnelles et des mots de passe lisibles — ont été publiés sur le site de fuite de Play sur le dark web en juin 2023.

Victim
Xplain (prestataire suisse de services informatiques de l'Administration fédérale)
Records
1.3M