Attaque par rançongiciel du Centre national de données indonésien (PDNS)

Le 20 juin 2024, le Centre national de données temporaire (Pusat Data Nasional Sementara, PDNS 2) indonésien, à Surabaya, a été paralysé par un rançongiciel déployé par un groupe se faisant appeler Brain Cipher. L'attaque a paralysé des services publics essentiels dans tout le pays et a révélé une absence catastrophique de sauvegardes de données, devenant l'incident cyber du secteur public le plus dommageable de l'histoire indonésienne.

Ce qui s'est passé

Brain Cipher — une souche de rançongiciel identifiée par les enquêteurs comme un dérivé de LockBit 3.0 — a chiffré les systèmes hébergés au PDNS 2, l'une des installations intérimaires desservant les ministères indonésiens pendant la construction des centres nationaux de données permanents. Les responsables ont révélé par la suite que l'intrusion avait été facilitée par des défaillances de sécurité élémentaires, notamment des configurations par défaut et des protections désactivées au niveau de Windows Defender.

Le chiffrement a mis hors service environ 282 services publics répartis sur plus de 200 administrations, dont la direction de l'immigration, dont la panne a immobilisé des voyageurs dans les grands aéroports lorsque les contrôles de passeport et de visa sont revenus à un traitement manuel.

Impact

282 services répartis sur plus de 210 administrations centrales et régionales ont été perturbés, l'immigration, la plateforme nationale de bourses d'études et les systèmes des collectivités locales figurant parmi les plus touchés.
Fait crucial, les autorités ont admis que seulement environ 2 % des données stockées au PDNS 2 avaient été sauvegardées ailleurs, ce qui signifie que la plupart des administrations touchées n'ont pas pu rétablir leurs opérations même après le déchiffrement.
Les attaquants ont exigé une rançon de 8 millions de dollars américains, que le gouvernement a publiquement refusé de payer.

Résolution

Le 3 juillet 2024, Brain Cipher a publié un message présentant ses excuses « aux citoyens de l'Indonésie » et a remis une clé de déchiffrement gratuite, que l'Agence nationale de cybersécurité et de cryptographie (BSSN) a vérifiée comme fonctionnelle. Ce revirement a épargné au gouvernement le paiement d'une rançon mais n'a pas réparé la perte de données pour les administrations qui n'avaient jamais effectué de sauvegarde.

Pourquoi c'est important

L'attaque du PDNS est devenue un scandale national sur la négligence en matière de gouvernance numérique. Les auditions parlementaires ont révélé que le centre avait reçu environ 700 milliards de roupies de fonds publics tout en manquant d'une discipline de sauvegarde élémentaire. Le chef de la BSSN a proposé sa démission, et l'épisode a conduit à un ordre présidentiel d'auditer les centres de données gouvernementaux et d'accélérer les obligations de sauvegarde — un cas d'école montrant comment une seule installation partagée insuffisamment protégée peut devenir un point de défaillance unique pour l'ensemble des services numériques d'un État.

Chronologie

20 juin 2024

Le PDNS 2 de Surabaya est chiffré par le groupe de rançongiciel Brain Cipher, une variante dérivée de LockBit 3.0.

22 juin 2024

Les systèmes d'immigration, de passeport et de visa tombent en panne dans les aéroports ; le gouvernement confirme une attaque par rançongiciel.

24 juin 2024

Les attaquants exigent une rançon de 8 millions de dollars ; les autorités annoncent qu'elles ne paieront pas.

26 juin 2024

Les autorités révèlent que l'essentiel des données touchées n'avait aucune sauvegarde, rendant la plupart des services irrécupérables.

3 juillet 2024

Brain Cipher présente publiquement ses excuses et remet gratuitement une clé de déchiffrement au Kominfo.

4 juillet 2024

Le chef de l'agence de cybersécurité BSSN propose sa démission devant le parlement à la suite de cet échec.

Sources

datacenterdynamics.comhttps://www.datacenterdynamics.com/en/news/ransomware-incident-shuts-down-indonesian-govt-data-center/

en.tempo.cohttps://en.tempo.co/read/1887231/pdns-decryption-key-offered-but-hackers-threaten-kominfo-data-release-on-denial

fulcrum.sghttps://fulcrum.sg/indonesias-national-data-centre-ransomware-attack-a-digital-governance-failure/

databoks.katadata.co.idhttps://databoks.katadata.co.id/en/demographics/statistics/b2e18210406faf2/before-ransomware-attack-national-data-center-received-rp700-billion-in-state-budget-funding

Incidents liés

RançongicielInconnu31 décembre 2024

Fuite chez Cogitis

Le 31 décembre 2024, le groupe de rançongiciel DragonForce a publié Cogitis — un syndicat mixte informatique français au service des collectivités — sur son site de fuite, revendiquant environ 81 Go de données exfiltrées, dont des fichiers internes et des données personnelles liées aux organismes publics qu'il accompagne.

Victim: Cogitis

RançongicielContenu21 novembre 2024

Fuite chez Chambres d’agriculture

En novembre 2024, les Chambres d'agriculture d'Occitanie — établissements publics agricoles régionaux — ont été frappées par une cyberattaque de type rançongiciel qui s'est propagée sur leur réseau national interconnecté et a rendu inutilisables les postes de travail d'environ 1 000 salariés de la région.

Victim: Chambres d’agriculture

RançongicielEn cours24 mai 2026

La mairie d’Eyguières paralysée par un ransomware

Le 22 mai 2026, la mairie d’Eyguières (Bouches-du-Rhône, environ 7 000 habitants) a été frappée par une attaque au rançongiciel Qilin qui a mis hors service ses systèmes informatiques et menacé de compromettre les données administratives et personnelles des habitants.

Victim: La mairie d’Eyguières

RançongicielContenu5 mai 2026

Quiberon : les services municipaux perturbés après une cyberattaque

Le 3 mai 2026, la ville de Quiberon (Morbihan, France) a été frappée par un rançongiciel Qilin qui a chiffré une partie de ses systèmes informatiques et exfiltré des données personnelles ; la Ville a refusé la rançon et engagé une reconstruction progressive et sécurisée de son infrastructure.

Victim: Quiberon