Attaque par rançongiciel BlackCat contre le gouvernement de Carinthie

Le 24 mai 2022, le gouvernement de Carinthie (en allemand : Land Kärnten), l'un des neuf États fédéraux d'Autriche, a été frappé par le gang de rançongiciel BlackCat/ALPHV. L'attaque a paralysé une large part du parc informatique de l'administration de l'État et perturbé les services publics quotidiens pour les habitants — devenant un test très médiatisé de la politique de plus en plus courante du refus de payer.

Ce qui s'est passé

Les opérateurs de BlackCat ont pénétré le réseau du gouvernement carinthien et déployé leur rançongiciel, chiffrant environ 3 000 postes de travail. Le site web et les systèmes de messagerie de l'État sont passés hors ligne, et les services essentiels aux citoyens se sont bloqués. Parmi les fonctions perturbées figuraient la délivrance de passeports et de documents de voyage, le traitement des paiements d'amendes routières et les opérations de dépistage et de traçage des contacts COVID-19 de l'État — à une époque où ces services étaient encore très sollicités.

Les attaquants ont exigé une rançon de 5 millions de dollars, payable en Bitcoin, en échange d'un outil de déchiffrement. Comme à l'accoutumée pour BlackCat — une opération de double extorsion — le gang laissait entendre qu'il pouvait également divulguer des données, bien que les responsables de l'État aient affirmé qu'il n'existait aucune preuve d'exfiltration effective de données des systèmes de la Carinthie.

Conséquences

• Environ 3 000 ordinateurs rendus inutilisables dans l'ensemble de l'administration de l'État.
• Des services publics dont les passeports, le traitement des amendes routières et le traçage des contacts liés à la pandémie ont été interrompus, imposant des solutions manuelles de contournement.
• La messagerie et la présence web de l'État étaient hors service, entravant à la fois les opérations internes et la communication avec les citoyens.
• Le rétablissement s'est étalé sur plusieurs semaines tandis que les équipes informatiques reconstruisaient les systèmes à partir de sauvegardes.

Réponse et attribution

Le porte-parole de l'État, Gerd Kurath, a déclaré sans détour que la Carinthie ne répondrait pas aux exigences des attaquants et restaurerait plutôt ses systèmes à partir de sauvegardes. Aucune rançon n'a été payée.

BlackCat/ALPHV est apparu fin 2021 et était largement considéré comme une nouvelle image de marque de l'opération DarkSide/BlackMatter — la même lignée à l'origine de l'attaque de Colonial Pipeline en 2021. Écrit en Rust et exploité en tant que rançongiciel-as-a-service, BlackCat est devenu l'un des gangs les plus prolifiques de 2022, le FBI avertissant qu'il avait compromis des dizaines d'organisations dans le monde. L'opération a été démantelée par une action menée par le FBI en décembre 2023.

Pourquoi c'est important

L'attaque contre la Carinthie est un cas d'école de résilience du secteur public face au rançongiciel. En maintenant fermement sa position de non-paiement et en s'appuyant sur des sauvegardes, l'État a évité de financer une entreprise criminelle — mais la perturbation prolongée des passeports, des amendes et des services de santé a montré le coût réel supporté par les citoyens lorsque l'informatique d'un gouvernement régional est chiffrée. Cela a renforcé les raisons pour lesquelles les administrations publiques de toute l'Europe ont privilégié les sauvegardes hors ligne, la segmentation des réseaux et des plans de reprise testés comme réponse pratique aux exigences des rançongiciels.