Attaque par rançongiciel contre le groupe média Impresa

Dans les premières heures de 2022, le groupe d'extorsion Lapsus$ a frappé Impresa, le plus grand conglomérat médiatique du Portugal et propriétaire de l'hebdomadaire Expresso et de la famille de chaînes de télévision SIC. En prenant le contrôle de l'infrastructure cloud d'Impresa, les attaquants ont réduit au silence deux des rédactions les plus influentes du pays et transformé leurs propres plateformes en panneaux d'affichage de rançon.

Ce qui s'est passé

Durant le week-end du Nouvel An, Lapsus$ a compromis le compte Amazon Web Services (AWS) d'Impresa — l'ossature hébergeant les sites web et les systèmes de publication numérique du groupe. Fort de cet accès, les attaquants ont défiguré toutes les propriétés d'Impresa, remplaçant les pages d'accueil d'Expresso et de SIC par une note de rançon annonçant que les données de l'entreprise étaient entre leurs mains.

L'intrusion ne s'est pas limitée à la défiguration. Lapsus$ a détourné le compte Twitter vérifié d'Expresso, l'utilisant pour railler le média — notamment un tweet déclarant le groupe « président du Portugal » — et a envoyé des SMS aux abonnés d'Expresso pour amplifier la compromission et faire pression sur l'entreprise. Impresa a publiquement exhorté son public à ne pas ouvrir ni transférer les communications semblant provenir de ses marques, les attaquants se faisant passer pour elles.

Conséquences

• Les sites web d'Impresa, d'Expresso et des chaînes SIC ont été mis hors ligne et sont restés inaccessibles pendant plusieurs jours après le début de l'année.
• Expresso a perdu l'accès à ses données internes et à ses archives numériques, qui contenaient des décennies de son propre journalisme ainsi que du contenu d'autres titres, entravant gravement sa capacité à publier.
• Les diffusions télévisées en direct de SIC ont été perturbées autour de l'attaque, et la rédaction a dû improviser la publication via les réseaux sociaux et un site temporaire.
• Les autorités portugaises ont qualifié l'incident de plus grande attaque par rançongiciel de l'histoire du pays.

Aucun paiement de rançon n'a été signalé, et l'attaque visait la perturbation, la pression d'extorsion et l'humiliation réputationnelle plutôt qu'une exfiltration massive confirmée de dossiers clients.

Attribution

Lapsus$ a revendiqué l'attaque directement par sa note de rançon et les comptes détournés. Le groupe — ultérieurement relié à un noyau de jeunes acteurs anglophones opérant largement par ingénierie sociale et prise de contrôle de comptes — a ensuite compromis de grandes entreprises technologiques dont Nvidia, Samsung, Microsoft et Okta début 2022. L'attaque contre Impresa fut l'une de ses premières opérations très médiatisées et établit son mélange caractéristique de provocations publiques effrontées et de compromission de comptes cloud.

Pourquoi c'est important

La compromission d'Impresa a montré comment un seul compte cloud compromis peut paralyser tout un groupe média national, et comment la liberté de la presse devient un dommage collatéral lorsque les rédactions sont visées. En instrumentalisant les propres canaux sociaux vérifiés d'Impresa, Lapsus$ a démontré que les dimensions réputationnelle et désinformationnelle d'une attaque peuvent rivaliser avec la perturbation technique — un avertissement que les organisations médiatiques sont des cibles de grande valeur dont les plateformes de confiance peuvent être retournées contre leur public.