Skip to content
CBCyber Breaches
Recherche
RançongicielContenu

Rançongiciel LockBit chez Westpole — panne de l'administration publique italienne (2023)

LockBit 3.0 a chiffré les centres de données du fournisseur cloud italien Westpole, mettant hors service la plateforme Urbi de PA Digitale — qui dessert 1 300 administrations publiques italiennes, dont 540 communes, la présidence du Quirinale, l'ISTAT, la Banque d'Italie et le ministère de l'Environnement. Paie, services aux citoyens et flux de travail des collectivités ont été dégradés pendant des semaines.

Victime
Westpole / PA Digitale (plateforme Urbi)
SecteurGouvernementTechnologie
PaysItalie
GroupeLockBit

Le 8 décembre 2023, le fournisseur italien de services cloud et managés Westpole a été frappé par le rançongiciel LockBit 3.0 à 05h00. Le chiffrement a mis hors service les centres de données de Milan et Rome qui hébergent la plateforme Urbi de PA Digitale — et, à travers elle, les services numériques d'environ 1 300 administrations publiques italiennes, dont 540 communes, la présidence du Quirinale, l'ISTAT, la Banque d'Italie, le ministère de l'Environnement et divers organismes régionaux.

Ce qui s'est passé

Westpole et PA Digitale fournissent ensemble le socle numérique d'une part substantielle de l'administration publique italienne. PA Digitale exploite la plateforme Urbi — utilisée par 1 300 administrations pour les flux de travail courants : paie, portails de services aux citoyens, gestion documentaire, comptabilité des collectivités. Lorsque LockBit a chiffré l'infrastructure d'hébergement de Westpole, Urbi a sombré avec elle.

L'agence nationale italienne de cybersécurité, l'ACN, a confirmé LockBit comme l'opération responsable en quelques jours. Le 18 décembre, la préoccupation pratique dans la presse italienne était simple : nombre de communes touchées effectuaient leurs paies de fin de mois via PA Digitale, et la paie nécessitait soudainement des solutions de contournement manuelles.

La reprise s'est faite par étapes. Westpole a remis en service ses systèmes progressivement ; à la mi-décembre, environ 50 % des systèmes étaient restaurés. Dans les semaines qui ont suivi, Westpole a déclaré la récupération complète des données pour plus de 700 entités nationales et locales de l'administration publique liées à la plateforme.

Impact

  • 1 300 administrations publiques italiennes dépendantes de la plateforme Urbi de PA Digitale affectées.
  • 540 communes impactées.
  • Grands organismes nationaux touchés, dont le Quirinale, l'ISTAT, la Banque d'Italie et le ministère de l'Environnement.
  • Paies communales de fin de mois mises en péril ; secours manuel requis.
  • Reprise par étapes ; environ 50 % des systèmes restaurés à la mi-décembre ; récupération complète des données rapportée pour plus de 700 entités dans les semaines suivantes.

Pourquoi cela compte

Westpole est le cas de référence italien pour le rançongiciel par chaîne logistique de services partagés : la panne d'un seul prestataire de services managés se propage en une dégradation à l'échelle nationale des services publics. Il a aussi démontré, dans le contexte européen, que la paie communale dépend de la même pile SaaS que les flux de travail documentaires courants — ce qui fait passer les enjeux opérationnels de « gênant » à « les gens ne sont pas payés » en quelques semaines de panne. L'affaire a façonné les recommandations ultérieures de l'ACN sur la classification des fournisseurs critiques et les obligations d'audit.

Chronologie

  1. Le rançongiciel LockBit 3.0 s'active à 05h00 dans les centres de données Westpole de Milan et Rome, chiffrant l'infrastructure qui héberge la plateforme Urbi de PA Digitale.

  2. Les services de PA Digitale commencent à tomber en panne dans les administrations publiques clientes. Les entités touchées comprennent la présidence du Quirinale, l'ISTAT, le ministère de l'Environnement, la Banque d'Italie, des conseils régionaux et environ 540 communes.

  3. La presse italienne rend compte de la panne en détail ; l'ACN (Agenzia per la Cybersicurezza Nazionale) confirme LockBit comme l'opération responsable.

  4. La presse avertit que les paies communales prévues pour la fin décembre sont menacées ; des procédures manuelles de secours sont engagées.

  5. La reprise progressive de Westpole se poursuit ; la presse italienne rapporte qu'environ 50 % des systèmes sont restaurés en milieu de mois et la récupération complète des données pour plus de 700 entités nationales et locales de l'administration publique.

Sources

  1. securityaffairs.comhttps://securityaffairs.com/156090/cyber-crime/westpole-ransomware-attack.html
  2. cybersecitalia.ithttps://www.cybersecitalia.it/westpole-lacn-conferma-lockbit-dietro-lattacco-che-sta-bloccando-la-pa/28236/
  3. cubic-lighthouse.comhttps://cubic-lighthouse.com/2023/12/22/lockbit-ransomware-disrupts-public-digital-services-in-italy/news/
  4. tg24.sky.ithttps://tg24.sky.it/cronaca/2023/12/18/pa-digitale-attacco-hacker-westpole
  5. securityinfo.ithttps://www.securityinfo.it/2023/12/13/attacco-ransomware-a-westpole-offline-i-servizi-di-pa-digitale/

Incidents liés

RançongicielContenu

Rançongiciel Brain Cipher (LockBit 3.0) contre le PDNS indonésien (2024)

Brain Cipher — un rançongiciel dérivé de LockBit 3.0 — a chiffré le Centre national de données temporaire (PDNS) indonésien, paralysant 282 services publics numériques pendant des semaines, de l'immigration à la délivrance des passeports. Les attaquants exigeaient 8 M$ ; le gouvernement a refusé. Brain Cipher a ensuite publié un déchiffreur gratuitement, accompagné d'excuses.

Victim
Pusat Data Nasional Sementara (PDNS), Indonésie
RançongicielContenu

Rançongiciel LockBit contre ICBC Financial Services (2023)

Le rançongiciel LockBit a perturbé la filiale américaine de courtage-négociation d'ICBC, la plus grande banque mondiale, bloquant le règlement de plus de 9 milliards de dollars de transactions sur les bons du Trésor américain. Le personnel de la banque a envoyé les détails de règlement critiques sur clé USB, par messager, à travers Manhattan. 62 milliards de dollars de bons du Trésor n'ont pas pu être livrés en une seule journée.

Victim
ICBC Financial Services (courtier-négociant américain d'Industrial and Commercial Bank of China)
Loss
$9.00B
RançongicielContenu

Rançongiciel LockBit contre Boeing via Citrix Bleed (2023)

Les opérateurs de LockBit ont exploité la vulnérabilité Citrix Bleed (CVE-2023-4966) pour pénétrer dans l'activité de pièces détachées et de distribution de Boeing. Boeing n'a pas payé ; LockBit a divulgué environ 45 Go de données, dont des journaux Citrix, des sauvegardes de courriels, des listes de fournisseurs et des données tarifaires de 2020.

Victim
Boeing — Activité Pièces détachées et Distribution
RançongicielContenu

Rançongiciel Play chez Xplain et fuite de documents fédéraux suisses (2023)

Le rançongiciel Play a compromis le prestataire suisse de services informatiques Xplain, exfiltrant 1,3 million de fichiers. Environ 65 000 documents appartenant à l'Administration fédérale suisse — y compris des contenus classifiés, des données personnelles et des mots de passe lisibles — ont été publiés sur le site de fuite de Play sur le dark web en juin 2023.

Victim
Xplain (prestataire suisse de services informatiques de l'Administration fédérale)
Records
1.3M