Skip to content
Cyber Breaches
Recherche
RançongicielRésolu

Attaque par rançongiciel du Lanka Government Cloud

Une attaque par rançongiciel sur le Lanka Government Cloud du Sri Lanka a chiffré environ 5 000 comptes de messagerie gov.lk — dont le Cabinet Office — et, les sauvegardes ayant également été chiffrées, a détruit définitivement environ trois mois de courriels gouvernementaux.

Victime
Lanka Government Cloud (ICTA Sri Lanka)
utilisateurs
5.0K
SecteurGouvernement
PaysSri Lanka

Le 11 septembre 2023, l'Agence des technologies de l'information et de la communication du Sri Lanka (ICTA) a confirmé que le Lanka Government Cloud (LGC) — la plateforme centrale hébergeant la messagerie officielle de l'État gov.lk — avait été touché par un rançongiciel. L'attaque ayant également chiffré les sauvegardes en ligne du système, environ trois mois de courriels gouvernementaux ont été définitivement détruits, y compris la correspondance du Cabinet Office.

Ce qui s'est passé

Les enquêteurs ont fait remonter l'intrusion probable au 26 août 2023 environ, lorsqu'un utilisateur gov.lk a signalé la réception de liens suspects — compatible avec une compromission par hameçonnage. Les attaquants ont chiffré les serveurs de messagerie du LGC, et la corruption s'est ensuite répliquée vers les systèmes de sauvegarde en ligne, mettant en échec le plan de récupération de l'agence.

La plateforme fonctionnait sous Microsoft Exchange Server 2013, un logiciel arrivé en fin de support en avril 2023 et qualifié par les responsables d'obsolète et vulnérable. L'ICTA avait prévu de moderniser le LGC dès 2021, mais la mise à niveau avait été repoussée à plusieurs reprises en raison de « contraintes budgétaires » et de décisions antérieures du conseil.

Conséquences

  • Environ 5 000 comptes de messagerie gouvernementaux du domaine gov.lk ont été touchés, dont le Cabinet Office, des responsables présidentiels et les ministères de l'Éducation et de la Santé.
  • Tous les courriels du 17 mai au 26 août 2023 étaient irrécupérables pour les comptes concernés — détruits faute de sauvegarde hors ligne pour cette période, attribuée à des « problèmes administratifs » non résolus.
  • Le système central lui-même a été restauré en environ 12 heures, mais les données perdues n'ont pas pu être récupérées.

Réponse

Le gouvernement sri-lankais a déclaré n'avoir aucune intention de négocier ni de payer une quelconque rançon. Le directeur de l'ICTA, Mahesh Perera, a publiquement décrit la perte de données et l'échec des sauvegardes. Pour l'avenir, l'agence s'est engagée à mettre en place des sauvegardes hors ligne quotidiennes et une mise à niveau urgente vers une plateforme de messagerie prise en charge. L'équipe de réponse aux urgences informatiques du pays, CERT|CC, a ouvert une enquête sur l'incident.

Pourquoi c'est important

L'attaque du LGC est un cas d'école illustrant comment une stratégie de sauvegarde uniquement en ligne n'offre aucune protection contre les rançongiciels — la réplication même censée garantir la résilience a propagé le chiffrement jusqu'aux sauvegardes. Combinée à un serveur Exchange en fin de vie laissé sans correctif pour des raisons budgétaires, elle a révélé la fragilité de l'infrastructure numérique essentielle d'une nation. L'incident a accéléré la création par le Sri Lanka d'une autorité dédiée à la cybersécurité et la mise en place d'un régime de sauvegarde durci et correctement isolé pour les systèmes gouvernementaux.

Chronologie

  1. Un utilisateur gov.lk signale des liens suspects ; les enquêteurs considèrent ensuite cette date comme le début probable de l'intrusion.

  2. L'Agence des TIC du Sri Lanka (ICTA) confirme une attaque par rançongiciel sur le Lanka Government Cloud.

  3. Les responsables restaurent le système LGC en environ 12 heures, mais constatent que les sauvegardes en ligne ont également été chiffrées.

  4. Les données du 17 mai au 26 août 2023 sont déclarées définitivement perdues pour les comptes concernés ; le gouvernement décide de ne payer aucune rançon.

  5. L'ICTA s'engage à mettre en place des sauvegardes hors ligne quotidiennes et à abandonner la plateforme obsolète Microsoft Exchange 2013 ; le CERT|CC du Sri Lanka ouvre une enquête.

Sources

  1. therecord.mediahttps://therecord.media/sri-lanka-loses-months-of-government-data-in-ransomware-attack
  2. theregister.comhttps://www.theregister.com/2023/09/13/ransomware_attack_hits_sri_lanka/
  3. infosecurity-magazine.comhttps://www.infosecurity-magazine.com/news/ransomware-sri-lanka-government/
  4. sundaytimes.lkhttps://www.sundaytimes.lk/230910/news/massive-ransomware-attack-on-state-email-domain-532126.html
  5. bankinfosecurity.asiahttps://www.bankinfosecurity.asia/ransomware-attack-wipes-out-sri-lankan-government-emails-a-23075

Incidents liés

RançongicielContenu

Rançongiciel LockBit chez Westpole — panne de l'administration publique italienne (2023)

LockBit 3.0 a chiffré les centres de données du fournisseur cloud italien Westpole, mettant hors service la plateforme Urbi de PA Digitale — qui dessert 1 300 administrations publiques italiennes, dont 540 communes, la présidence du Quirinale, l'ISTAT, la Banque d'Italie et le ministère de l'Environnement. Paie, services aux citoyens et flux de travail des collectivités ont été dégradés pendant des semaines.

Victim
Westpole / PA Digitale (plateforme Urbi)
RançongicielContenu

Rançongiciel Rhysida contre la British Library (2023)

Les opérateurs du rançongiciel Rhysida ont détruit des serveurs, exigé environ 600 000 £ et divulgué 600 Go de données internes lorsque la British Library a refusé de payer. Le catalogue principal n'est revenu en ligne — en lecture seule — qu'en janvier 2024. La reprise absorbe 40 % des réserves financières de la bibliothèque.

Victim
British Library
Loss
$8.5M
RançongicielRésolu

Attaque par rançongiciel sur la chaîne d'approvisionnement IFX Networks

Une attaque par rançongiciel contre le fournisseur cloud régional IFX Networks s'est propagée à plus de 50 entités publiques et privées colombiennes — dont le ministère de la Santé, le pouvoir judiciaire et la Surintendance de l'industrie et du commerce — et a touché 762 organisations en Amérique latine.

Victim
IFX Networks (clients gouvernementaux colombiens)