Skip to content
RançongicielContenu

Rançongiciel LockBit contre Indigo Books

Des affiliés de LockBit ont chiffré le plus grand libraire du Canada, mettant le site web et les systèmes de paiement en magasin hors ligne pendant des semaines. Indigo a publiquement refusé la rançon ; LockBit a publié les données personnelles d'employés.

Partie de la campagnelockbit ransomware franchise
Victime
Indigo Books & Music Inc.
Perte
$40.0M
données
5.0K
utilisateurs
5.0K
SecteurCommerce
GroupeLockBit
Attaquants nommésDmitry Khoroshev

Le 8 février 2023, Indigo Books & Music — le plus grand détaillant de livres du Canada, comptant ~200 magasins — a été frappé par le rançongiciel LockBit. Le site web de commerce électronique de l'entreprise est passé hors ligne et le traitement des paiements en magasin a été perturbé dans toute la chaîne. L'incident est devenu une fuite très médiatisée du commerce de détail canadien au cours d'une année où Indigo composait déjà avec d'importantes pressions opérationnelles.

Ce qui s'est passé

Les opérateurs de LockBit ont déployé un rançongiciel contre l'infrastructure de traitement des paiements et de commerce électronique d'Indigo le 8 février 2023. Le rayon d'impact se limitait à :

  • Systèmes de paiement en magasin : traitement des cartes de débit et de crédit hors ligne. Les magasins sont revenus au paiement comptant uniquement pendant les 24 à 48 premières heures.
  • Le site web de commerce électronique d'Indigo (indigo.ca et chapters.indigo.ca) : complètement hors ligne, les clients ne pouvant ni naviguer, ni commander, ni vérifier l'état de leur commande.
  • Systèmes internes de l'entreprise : la messagerie et les systèmes RH ont également été touchés, les employés contournant la perturbation.

Le vecteur d'attaque n'a pas été détaillé publiquement. Les communications d'Indigo ont qualifié l'incident d'« incident de cybersécurité » avant que l'attribution à LockBit ne devienne publique via la publication sur le site de fuites de l'opération.

Restauration et refus

La chronologie de restauration d'Indigo était la suivante :

  • 48 heures : acceptation du débit et du crédit en magasin rétablie dans la plupart des établissements.
  • 3 semaines : site web de commerce électronique rétabli le 3 mars 2023.
  • 6 semaines : systèmes informatiques internes entièrement rétablis.

Le 23 février 2023, LockBit a publiquement inscrit Indigo sur son site de fuites et exigé 5 millions de dollars en bitcoin. Le 2 mars, la PDG d'Indigo, Heather Reisman, a déclaré publiquement :

« Nous avons pris la difficile décision de ne pas verser de rançon. Bien que nous reconnaissions que cela puisse entraîner la divulgation publique d'informations volées, nous ne contribuerons pas au financement d'organisations criminelles telles que LockBit. »

Le refus était significatif dans le contexte canadien — le Canada n'avait que récemment vu Empire Co., affiliée à Sobeys et voisine d'Indigo, frappée par un rançongiciel (novembre 2022) et le Groupe Investors / IG Gestion de patrimoine (décembre 2022). Le refus d'Indigo a aligné la posture du Canada sur le modèle de refus public adopté par l'Australie (Medibank, Latitude) et le Royaume-Uni (Royal Mail).

La réponse de LockBit

Le 15 mars 2023, LockBit a publié les données exfiltrées sur son site de fuites. Selon les divulgations ultérieures d'Indigo et un examen externe :

  • Les renseignements personnels d'employés actuels et anciens d'Indigo figuraient dans le jeu de données — y compris noms, dates de naissance, adresses, numéros d'assurance sociale et informations bancaires de dépôt direct.
  • Les données de cartes de paiement des clients n'étaient pas concernées, selon l'enquête d'Indigo.
  • Environ 5 000 employés (actuels et anciens) ont été touchés.

Indigo a fourni deux ans de surveillance du crédit aux employés touchés et a avisé le Commissariat à la protection de la vie privée du Canada conformément aux exigences fédérales de notification des atteintes.

Impact

  • 3 semaines d'indisponibilité du commerce électronique durant une période de vente au détail faible mais non négligeable (après les fêtes, avant le printemps).
  • ~5 000 employés dont les renseignements personnels ont été exposés.
  • Coût direct pour Indigo : ~40 M$ incluant remédiation, interruption d'activité et soutien aux employés.
  • Aucune donnée de paiement client exposée, selon l'enquête d'Indigo.

Pourquoi c'est important

Indigo est un cas canadien de référence de rançongiciel dans le commerce de détail qui s'aligne sur la posture plus large des démocraties occidentales en matière de refus public de rançon. Il a établi :

  • Que les grands détaillants canadiens sont des cibles opérationnellement atteignables par les grandes opérations de rançongiciel et que le rayon d'impact sur le commerce électronique peut être important même lorsque les données de cartes ne sont pas exposées.
  • Que le refus public de payer par une PDG est bénéfique sur le plan réputationnel dans le contexte canadien. La déclaration de Reisman a été largement citée avec approbation dans la presse canadienne et a contribué à établir un refus public par défaut pour les incidents canadiens ultérieurs.
  • Que les renseignements personnels des employés sont désormais une cible courante des rançongiciels à double extorsion — même lorsque l'opération ne capture pas de données clients, le jeu de données des employés (NAS/SSN, informations de dépôt direct) est fonctionnellement précieux pour les attaquants et dommageable pour l'organisation victime.
  • Que le programme d'affiliation de LockBit fonctionnait activement tout au long de 2023 sans ralentissement apparent, malgré le démasquage de Khoroshev qui a suivi en mai 2024. Indigo a constitué un point de référence du début 2023 pour la pression opérationnelle qui a finalement motivé l'opération Cronos.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
40.0M
USD · 40 000 000 $US
Rançon demandée
$5.0M
Rançon payée
Refusée
  • Perte d’exploitation$25.0M
  • Remédiation$15.0M

Chronologie

  1. Indigo Books & Music découvre un chiffrement par rançongiciel affectant l'infrastructure de traitement des paiements et le site web de l'entreprise. Les magasins ne peuvent plus accepter les cartes de débit ; le site web passe hors ligne.

  2. Indigo reconnaît publiquement un « incident de cybersécurité » affectant les systèmes de paiement et le site web.

  3. Indigo rétablit progressivement l'acceptation du débit/crédit en magasin ; le site web de commerce électronique demeure hors ligne.

  4. LockBit inscrit Indigo sur son site de fuites. Exige une rançon de 5 M$ US. Le site web d'Indigo est toujours hors ligne.

  5. La PDG d'Indigo, Heather Reisman, déclare publiquement que l'entreprise ne paiera pas, invoquant la crainte que les fonds ne soient versés à l'opération LockBit.

  6. Le site web de commerce électronique d'Indigo revient en ligne, plus de trois semaines après l'incident initial.

  7. LockBit publie les données exfiltrées — y compris les renseignements personnels d'employés actuels et anciens d'Indigo. Les données clients sont rapportées comme ne faisant pas partie de la portée de la fuite.

Sources

  1. indigo.cahttps://www.indigo.ca/en-ca/about-us/cybersecurity-incident/
  2. cbc.cahttps://www.cbc.ca/news/business/indigo-cyberattack-1.6741103
  3. theglobeandmail.comhttps://www.theglobeandmail.com/business/article-indigo-cyberattack-employee-data/

Incidents liés

RançongicielContenu

Rançongiciel LockBit chez Westpole — panne de l'administration publique italienne (2023)

LockBit 3.0 a chiffré les centres de données du fournisseur cloud italien Westpole, mettant hors service la plateforme Urbi de PA Digitale — qui dessert 1 300 administrations publiques italiennes, dont 540 communes, la présidence du Quirinale, l'ISTAT, la Banque d'Italie et le ministère de l'Environnement. Paie, services aux citoyens et flux de travail des collectivités ont été dégradés pendant des semaines.

Victim
Westpole / PA Digitale (plateforme Urbi)
RançongicielContenu

Rançongiciel LockBit contre ICBC Financial Services (2023)

Le rançongiciel LockBit a perturbé la filiale américaine de courtage-négociation d'ICBC, la plus grande banque mondiale, bloquant le règlement de plus de 9 milliards de dollars de transactions sur les bons du Trésor américain. Le personnel de la banque a envoyé les détails de règlement critiques sur clé USB, par messager, à travers Manhattan. 62 milliards de dollars de bons du Trésor n'ont pas pu être livrés en une seule journée.

Victim
ICBC Financial Services (courtier-négociant américain d'Industrial and Commercial Bank of China)
Loss
$9.00B
RançongicielContenu

Rançongiciel LockBit contre Boeing via Citrix Bleed (2023)

Les opérateurs de LockBit ont exploité la vulnérabilité Citrix Bleed (CVE-2023-4966) pour pénétrer dans l'activité de pièces détachées et de distribution de Boeing. Boeing n'a pas payé ; LockBit a divulgué environ 45 Go de données, dont des journaux Citrix, des sauvegardes de courriels, des listes de fournisseurs et des données tarifaires de 2020.

Victim
Boeing — Activité Pièces détachées et Distribution