À Besançon, l’attaque remonte au 4 septembre et s’est très vite propagée dans le réseau interne en raison d’une protection anti-virus insuffisante. Malgré le remplacement rapide de l’anti-virus qui équipait les postes, le mal était fait. De nombreuses données ont été exfiltrées, au minimum le contenu de mails et leurs pièces jointes, sans qu’il ne soit possible d’en connaitre aujourd’hui l’ampleur. Une équipe d’experts informatiques est d’ailleurs toujours présente pour épauler les services.
Ces derniers jours, une nouvelle vague d’hameçonnage est apparue. Des centaines ou des milliers de mails piégés ont été envoyés en imitant la signature d’une personne de la collectivité. Ils pouvaient avoir l’apparence d’un vrai échange, avec le nom d’un expéditeur connu et l’historique d’une ancienne conversation. Seulement, la pièce jointe qui l’accompagnait comportait une entrée pour installer le virus Emotet : c’est sa porte d’entrée.
L’attaque est prise très au sérieux. Le ministère de l’Intérieur a été touché, ainsi que des hôpitaux et bon nombre d’avocats du barreau de Paris début septembre. Le CERT-FR, le centre gouvernemental de veille, d’alerte et de réponses aux attaques informatiques émet un bulletin d’alerte dès le 7 septembre. Le virus Emotet est capable de récupérer les mots de passe stockés sur un système ainsi que sur plusieurs navigateurs, de dérober la liste de contacts, le contenu et les pièces jointes attachées à des courriels et de se propager au sein du réseau infecté.
Mais ce n’est pas tout. Une fois le poste contaminé par Emotet, l’attaque peut évoluer avec le téléchargement de rançongiciels qui ont la possibilité par exemple de crypter entièrement le système et de demander une rançon pour récupérer les données. Rien n’est certain, mais l’attaque en cours à Besançon n’est donc peut-être pas terminée. D'ailleurs, pour la métropole d’Aix-Marseille-Provence, des répercussions se sont fait sentir six mois après l’attaque informatique de mars 2020 avec la mise en ligne récente de 40 Go de documents internes sur un serveur public…
Ce qui est certain, c’est que des données exfiltrées des serveurs de la ville de Besançon circulent et sont peut-être déjà en vente. C’est d’ailleurs là que réside l’origine de la vague d’hameçonnage par mails frauduleux de ces derniers jours, qui a d’ailleurs contribué à contaminer d’autres services informatiques.
L’ANSSI, l’Agence nationale de la sécurité système d’information, qui est chargée d’épauler administrations et entreprises face au risque informatique se refuse à tout commentaire sur le sujet. Mais selon nos informations, il y aurait plus d’une centaine de collectivités et d’entreprises impactées en Bourgogne–Franche-Comté. Maty, le bijoutier de Besançon, a par exemple été lourdement frappé, certaines données auraient été cryptées et son système informatique d’expédition aurait été rendu inutilisable, poussant plusieurs employés au chômage technique.
