Skip to content
Cyber Breaches
Recherche
RançongicielRésolu

Attaque par rançongiciel sur la chaîne d'approvisionnement IFX Networks

Une attaque par rançongiciel contre le fournisseur cloud régional IFX Networks s'est propagée à plus de 50 entités publiques et privées colombiennes — dont le ministère de la Santé, le pouvoir judiciaire et la Surintendance de l'industrie et du commerce — et a touché 762 organisations en Amérique latine.

Victime
IFX Networks (clients gouvernementaux colombiens)
SecteurGouvernementTechnologie
PaysColombie
GroupeRansomHouse (suspecté)

En septembre 2023, une attaque par rançongiciel contre IFX Networks — un fournisseur régional de cloud, d'hébergement et de connectivité — s'est transformée en l'un des incidents de chaîne d'approvisionnement les plus perturbateurs de l'histoire de l'Amérique latine, se propageant d'un seul prestataire technologique jusqu'au cœur de l'État colombien.

Ce qui s'est passé

Le 12 septembre 2023, des acteurs malveillants ont déployé un rançongiciel au sein de l'infrastructure d'IFX Networks, chiffrant des systèmes sur lesquels des centaines de clients s'appuyaient pour l'hébergement et le stockage de données. Comme tant d'institutions colombiennes externalisaient leurs services auprès d'IFX, l'impact s'est répercuté presque immédiatement.

Le ministère de la Santé et de la Protection sociale, le pouvoir judiciaire et la Surintendance de l'industrie et du commerce ont tous signalé qu'ils ne pouvaient plus fonctionner normalement. Une base de données touchée contenait, selon les rapports, plus de 50 millions d'enregistrements appartenant au ministère de la Santé. Le pouvoir judiciaire a été contraint de suspendre les délais procéduraux à l'échelle nationale, les tribunaux ayant perdu l'accès aux systèmes de gestion des dossiers.

Ampleur

Le président Gustavo Petro a déclaré que plus de 50 entités publiques et privées colombiennes avaient été touchées. La présidence a indiqué par la suite que l'attaque avait touché 762 entreprises à travers l'Amérique latine, IFX fournissant des services à des organisations dans 17 pays du sous-continent. Cette ampleur en a fait une démonstration manuelle du risque de concentration : compromettre un seul prestataire de services gérés a donné un accès simultané à des dizaines de victimes en aval.

Attribution

Aucun groupe de rançongiciel n'a publiquement revendiqué l'attaque à l'époque. Cependant, les chercheurs d'elHacker.net ont fait circuler des éléments suggérant que le groupe d'extorsion RansomHouse — déjà lié à la violation du réseau de santé Keralty en 2022 en Colombie — pouvait en être responsable. IFX Networks a confirmé avoir subi un incident de rançongiciel touchant un sous-ensemble de sa plateforme d'hébergement.

Réponse du gouvernement

Le gouvernement colombien a adopté une posture inhabituellement combative envers son propre prestataire. Le ministre des TIC Mauricio Lizcano a déclaré avoir ordonné des actions administratives contre IFX Networks et coordonner une poursuite civile et une possible action pénale, alléguant que la violation résultait de la négligence de l'entreprise et que la communication d'IFX avec les clients touchés avait été insuffisante. Le parquet a ouvert une enquête.

Pourquoi c'est important

IFX Networks a cristallisé le danger de la dépendance de l'État envers des fournisseurs cloud tiers sans garanties contraignantes de sécurité et de réponse aux incidents. Un seul prestataire compromis a dégradé les services de santé, interrompu les procédures judiciaires et perturbé les régulateurs à l'échelle d'une nation entière — et au-delà de ses frontières. L'incident a accéléré le débat en Colombie et dans l'ensemble de la région sur la diligence raisonnable en matière de chaîne d'approvisionnement, la notification obligatoire des violations pour les fournisseurs critiques et la résilience de l'informatique externalisée du secteur public.

Chronologie

  1. Une attaque par rançongiciel frappe le fournisseur régional de cloud et d'hébergement IFX Networks, chiffrant l'infrastructure utilisée par des centaines de clients.

  2. Des agences gouvernementales colombiennes, dont le ministère de la Santé, le pouvoir judiciaire et la Surintendance de l'industrie et du commerce, signalent des perturbations de services.

  3. Le président Gustavo Petro déclare que plus de 50 entités publiques et privées colombiennes ont été touchées.

  4. Le ministre des TIC colombien Mauricio Lizcano annonce des actions administratives et d'éventuelles poursuites civiles et pénales contre IFX Networks ; le gouvernement indique que 762 organisations dans 17 pays d'Amérique latine ont été touchées.

  5. Les tribunaux suspendent les délais judiciaires à l'échelle nationale, le pouvoir judiciaire s'efforçant de restaurer ses systèmes et de récupérer l'accès aux données des dossiers.

Sources

  1. therecord.mediahttps://therecord.media/colombia-government-ministries-cyberattack
  2. cyberdaily.auhttps://www.cyberdaily.au/government/9583-colombian-government-seeks-legal-action-after-cyber-attack-affects-762-organisations
  3. scworld.comhttps://www.scworld.com/brief/third-party-ransomware-attack-disrupts-major-colombian-government-agencies
  4. financecolombia.comhttps://www.financecolombia.com/colombian-governmental-websites-hit-by-cyberattack-on-third-party-service-provider-ifx-networks/
  5. thedefensepost.comhttps://thedefensepost.com/2023/09/15/colombia-cyberattack-latin-america/

Incidents liés

RançongicielContenu

Rançongiciel LockBit chez Westpole — panne de l'administration publique italienne (2023)

LockBit 3.0 a chiffré les centres de données du fournisseur cloud italien Westpole, mettant hors service la plateforme Urbi de PA Digitale — qui dessert 1 300 administrations publiques italiennes, dont 540 communes, la présidence du Quirinale, l'ISTAT, la Banque d'Italie et le ministère de l'Environnement. Paie, services aux citoyens et flux de travail des collectivités ont été dégradés pendant des semaines.

Victim
Westpole / PA Digitale (plateforme Urbi)
RançongicielContenu

Rançongiciel Play chez Xplain et fuite de documents fédéraux suisses (2023)

Le rançongiciel Play a compromis le prestataire suisse de services informatiques Xplain, exfiltrant 1,3 million de fichiers. Environ 65 000 documents appartenant à l'Administration fédérale suisse — y compris des contenus classifiés, des données personnelles et des mots de passe lisibles — ont été publiés sur le site de fuite de Play sur le dark web en juin 2023.

Victim
Xplain (prestataire suisse de services informatiques de l'Administration fédérale)
Records
1.3M
RançongicielContenu

Rançongiciel Rhysida contre la British Library (2023)

Les opérateurs du rançongiciel Rhysida ont détruit des serveurs, exigé environ 600 000 £ et divulgué 600 Go de données internes lorsque la British Library a refusé de payer. Le catalogue principal n'est revenu en ligne — en lecture seule — qu'en janvier 2024. La reprise absorbe 40 % des réserves financières de la bibliothèque.

Victim
British Library
Loss
$8.5M