Rançongiciel LockBit contre Indigo Books
Des affiliés de LockBit ont chiffré le plus grand libraire du Canada, mettant le site web et les systèmes de paiement en magasin hors ligne pendant des semaines. Indigo a publiquement refusé la rançon ; LockBit a publié les données personnelles d'employés.
- Victime
- Indigo Books & Music Inc.
- Perte
- $40.0M
- données
- 5.0K
- utilisateurs
- 5.0K
Le 8 février 2023, Indigo Books & Music — le plus grand détaillant de livres du Canada, comptant ~200 magasins — a été frappé par le rançongiciel LockBit. Le site web de commerce électronique de l'entreprise est passé hors ligne et le traitement des paiements en magasin a été perturbé dans toute la chaîne. L'incident est devenu une fuite très médiatisée du commerce de détail canadien au cours d'une année où Indigo composait déjà avec d'importantes pressions opérationnelles.
Ce qui s'est passé
Les opérateurs de LockBit ont déployé un rançongiciel contre l'infrastructure de traitement des paiements et de commerce électronique d'Indigo le 8 février 2023. Le rayon d'impact se limitait à :
- Systèmes de paiement en magasin : traitement des cartes de débit et de crédit hors ligne. Les magasins sont revenus au paiement comptant uniquement pendant les 24 à 48 premières heures.
- Le site web de commerce électronique d'Indigo (indigo.ca et chapters.indigo.ca) : complètement hors ligne, les clients ne pouvant ni naviguer, ni commander, ni vérifier l'état de leur commande.
- Systèmes internes de l'entreprise : la messagerie et les systèmes RH ont également été touchés, les employés contournant la perturbation.
Le vecteur d'attaque n'a pas été détaillé publiquement. Les communications d'Indigo ont qualifié l'incident d'« incident de cybersécurité » avant que l'attribution à LockBit ne devienne publique via la publication sur le site de fuites de l'opération.
Restauration et refus
La chronologie de restauration d'Indigo était la suivante :
- 48 heures : acceptation du débit et du crédit en magasin rétablie dans la plupart des établissements.
- 3 semaines : site web de commerce électronique rétabli le 3 mars 2023.
- 6 semaines : systèmes informatiques internes entièrement rétablis.
Le 23 février 2023, LockBit a publiquement inscrit Indigo sur son site de fuites et exigé 5 millions de dollars en bitcoin. Le 2 mars, la PDG d'Indigo, Heather Reisman, a déclaré publiquement :
« Nous avons pris la difficile décision de ne pas verser de rançon. Bien que nous reconnaissions que cela puisse entraîner la divulgation publique d'informations volées, nous ne contribuerons pas au financement d'organisations criminelles telles que LockBit. »
Le refus était significatif dans le contexte canadien — le Canada n'avait que récemment vu Empire Co., affiliée à Sobeys et voisine d'Indigo, frappée par un rançongiciel (novembre 2022) et le Groupe Investors / IG Gestion de patrimoine (décembre 2022). Le refus d'Indigo a aligné la posture du Canada sur le modèle de refus public adopté par l'Australie (Medibank, Latitude) et le Royaume-Uni (Royal Mail).
La réponse de LockBit
Le 15 mars 2023, LockBit a publié les données exfiltrées sur son site de fuites. Selon les divulgations ultérieures d'Indigo et un examen externe :
- Les renseignements personnels d'employés actuels et anciens d'Indigo figuraient dans le jeu de données — y compris noms, dates de naissance, adresses, numéros d'assurance sociale et informations bancaires de dépôt direct.
- Les données de cartes de paiement des clients n'étaient pas concernées, selon l'enquête d'Indigo.
- Environ 5 000 employés (actuels et anciens) ont été touchés.
Indigo a fourni deux ans de surveillance du crédit aux employés touchés et a avisé le Commissariat à la protection de la vie privée du Canada conformément aux exigences fédérales de notification des atteintes.
Impact
- 3 semaines d'indisponibilité du commerce électronique durant une période de vente au détail faible mais non négligeable (après les fêtes, avant le printemps).
- ~5 000 employés dont les renseignements personnels ont été exposés.
- Coût direct pour Indigo : ~40 M$ incluant remédiation, interruption d'activité et soutien aux employés.
- Aucune donnée de paiement client exposée, selon l'enquête d'Indigo.
Pourquoi c'est important
Indigo est un cas canadien de référence de rançongiciel dans le commerce de détail qui s'aligne sur la posture plus large des démocraties occidentales en matière de refus public de rançon. Il a établi :
- Que les grands détaillants canadiens sont des cibles opérationnellement atteignables par les grandes opérations de rançongiciel et que le rayon d'impact sur le commerce électronique peut être important même lorsque les données de cartes ne sont pas exposées.
- Que le refus public de payer par une PDG est bénéfique sur le plan réputationnel dans le contexte canadien. La déclaration de Reisman a été largement citée avec approbation dans la presse canadienne et a contribué à établir un refus public par défaut pour les incidents canadiens ultérieurs.
- Que les renseignements personnels des employés sont désormais une cible courante des rançongiciels à double extorsion — même lorsque l'opération ne capture pas de données clients, le jeu de données des employés (NAS/SSN, informations de dépôt direct) est fonctionnellement précieux pour les attaquants et dommageable pour l'organisation victime.
- Que le programme d'affiliation de LockBit fonctionnait activement tout au long de 2023 sans ralentissement apparent, malgré le démasquage de Khoroshev qui a suivi en mai 2024. Indigo a constitué un point de référence du début 2023 pour la pression opérationnelle qui a finalement motivé l'opération Cronos.
Impact financier
Coûts déclarés en USD
- Perte d’exploitation$25.0M
- Remédiation$15.0M
Chronologie
Indigo Books & Music découvre un chiffrement par rançongiciel affectant l'infrastructure de traitement des paiements et le site web de l'entreprise. Les magasins ne peuvent plus accepter les cartes de débit ; le site web passe hors ligne.
Indigo reconnaît publiquement un « incident de cybersécurité » affectant les systèmes de paiement et le site web.
Indigo rétablit progressivement l'acceptation du débit/crédit en magasin ; le site web de commerce électronique demeure hors ligne.
LockBit inscrit Indigo sur son site de fuites. Exige une rançon de 5 M$ US. Le site web d'Indigo est toujours hors ligne.
La PDG d'Indigo, Heather Reisman, déclare publiquement que l'entreprise ne paiera pas, invoquant la crainte que les fonds ne soient versés à l'opération LockBit.
Le site web de commerce électronique d'Indigo revient en ligne, plus de trois semaines après l'incident initial.
LockBit publie les données exfiltrées — y compris les renseignements personnels d'employés actuels et anciens d'Indigo. Les données clients sont rapportées comme ne faisant pas partie de la portée de la fuite.
Sources
- indigo.cahttps://www.indigo.ca/en-ca/about-us/cybersecurity-incident/
- cbc.cahttps://www.cbc.ca/news/business/indigo-cyberattack-1.6741103
- theglobeandmail.comhttps://www.theglobeandmail.com/business/article-indigo-cyberattack-employee-data/