Dernières actualités avec #Daniel
24 Heures
20-07-2025
- 24 Heures
Deux patrons romands racontent comment des hackers ont failli tuer leur entreprise
Les pirates ont agi un dimanche. Le lundi, la société était à l'arrêt. Toutes ses données étaient cryptées, même les numéros de téléphone des employés. Le cauchemar a duré un mois, jusqu'au paiement d'une lourde rançon. Publié aujourd'hui à 08h04 Début 2025, une PME romande a été la cible d'un groupe de hackers utilisant le rançongiciel Akira. Si ses patrons n'avaient pas payé la rançon demandée après trois semaines de négociations, elle aurait aujourd'hui fermé ses portes. IMAGO/Pond5 Images En bref: «Ce que nous avons vécu, c'est un viol, une prise d'otages.» Daniel et Bernard* sont assis à la table d'une salle de réunion. Pour les dirigeants de cette PME romande, tout a basculé en début d'année, un lundi matin, quand les premiers employés sont arrivés devant la porte du bâtiment et que plus rien, «absolument rien», ne fonctionnait. Un black-out consécutif à une attaque d'un groupe de hackers utilisant le rançongiciel Akira (lire ci-dessous) . Quelques mois plus tard, entre la rançon, les frais de reconstruction informatique et l'arrêt total de la production durant quatre semaines, cette agression leur a déjà coûté plusieurs centaines de milliers de francs. Ce à quoi il faut ajouter des blessures psychologiques qu'ils n'avaient jamais imaginé vivre. «Sans une aide extérieure providentielle, nous ne serions pas là aujourd'hui pour vous parler», avoue Daniel. Il inspire profondément. Car remonter le fil est une vraie épreuve: «Si nous témoignons aujourd'hui, c'est pour que d'autres prennent conscience de la violence et des dégâts de ces attaques par rançongiciels. Nous savons que la démarche est rare, les dirigeants préfèrent rester discrets. Nous demandons simplement que la raison sociale de notre entreprise n'apparaisse pas. Les raisons? C'est parce que nous ne voulons pas nuire à l'enquête en cours, mais aussi pour éviter que les attaques contre nous n'augmentent encore. Depuis l'agression, nous sommes engagés dans une guerre de tranchées. Les pirates sont très actifs, comme s'ils tapaient contre nos protections informatiques avec un bélier.» Trois heures pour prendre le contrôle Le décor est planté. L'histoire peut être racontée. «Un vendredi, durant la soirée, les hackers sont venus faire un petit tour sans être détectés. Le dimanche, ils n'ont eu besoin que de trois heures pour prendre le contrôle. Et le lundi… on a d'abord pensé qu'un serveur avait sauté. Puis on a vu que dans les répertoires de tous les appareils, il y avait un fichier texte d'Akira qui disait: «On vous a piratés, puis on a crypté et volé vos données.» Il y avait aussi un lien vers un chat privé entre eux et nous sur le dark web. Nous avions jusqu'à minuit pour prendre contact avec eux.» Les dirigeants sont pantois: «Tout était contaminé, les machines, les systèmes de sécurité, même les sauvegardes des sauvegardes. Nous ne savions pas quoi faire.» Bernard et le service informatique contactent immédiatement la police locale, mais le bureau n'ouvre que l'après-midi. À 14 heures, une plainte est déposée contre X. La suite? L'interlocuteur les informe que la section des cyberattaques travaille le mercredi matin et qu'elle reprendra contact. «Le message était: «Démerdez-vous!» Là, c'était vraiment la panique », se souvient Daniel. Ils appellent alors un ami travaillant dans l'informatique qui leur conseille de contacter des sociétés privées, type Kudelski ou Orange, qui ont des départements spécialisés. «Mais comme nous n'étions pas clients, nous n'arrivions pas à passer le rideau des secrétariats.» À ce stade, vous trouverez des contenus externes supplémentaires. Si vous acceptez que des cookies soient placés par des fournisseurs externes et que des données personnelles soient ainsi transmises à ces derniers, vous devez autoriser tous les cookies et afficher directement le contenu externe. Enfin une main tendue En parallèle, ils avertissent leurs clients de l'attaque. «La plupart nous ont dit de les avertir quand cela serait réglé.» Sauf un. «Nous lui devons beaucoup. Ses services ont réagi immédiatement. Ce groupe avait un contrat avec une entreprise romande spécialisée dans la cybercriminalité et l'a activé pour nous. Les spécialistes ont alors pris le lead .» Dans les montagnes russes émotionnelles qui venaient de débuter, c'est la première lueur d'espoir: «On ne savait pas où l'on allait, mais au moins une main s'était tendue.» Autre urgence: avertir les employés, sans trop les alerter. «Le problème est que nous n'avions même plus leurs numéros de téléphone. De fil en aiguille, nous avons créé des groupes WhatsApp. Le mardi matin, à 5 heures, on était devant l'entrée pour leur dire de rentrer chez eux.» Pendant ce temps sur X, les sites de sécurité relayaient l'annonce faite par Akira sur le dark web que la PME avait été piratée: «XXX, spécialisé dans le développement, la production et l'assemblage de composants en microtechnique, a été victime du rançongiciel Akira.» Des indications complétées par le type de données volées. Les trois semaines qui suivent sont rythmées par les séances de crise – «plusieurs par jour» –, mais aussi l'absence de sommeil. «La journée, nous nous activions à reconstruire une structure informatique coupée du monde. La nuit, c'étaient les discussions avec les hackers», continue Bernard. C'est aussi le temps de la gamberge: «On se remet en question, admet Daniel. Est-ce qu'on a fait quelque chose de faux? Je dois avouer que nous étions plutôt sereins. Deux de nos partenaires mondialement connus nous avaient soumis à un audit informatique poussé, avec de bons résultats. Probablement que nous étions parmi les entreprises les mieux protégées de notre canton. Mais à l'évidence, ce n'était pas suffisant.» Akira est un rançongiciel très violent qui est de plus en plus utilisé partout sur la planète. Il est reconnaissable à son environnement visuel qui rappelle les débuts de l'informatique dans les années 80. Rumeurs et parking vide Dans la région, les gens commencent à se poser des questions. La rumeur d'une attaque se propage, corroborée par le parking vide, jour après jour. On parle de rançon et de faillite. Les patrons, eux, s'en tiennent aux conseils des spécialistes. Pas de communication, pour ne rien attiser. Mais derrière le silence, cela turbine. L'équipe de direction et le service informatique sont plongés dans un scénario de science-fiction. Dans le sillage des experts venus à leur rescousse, ils découvrent comment les hackers fonctionnent. «C'est une chaîne. D'abord, il y a ceux qui cherchent les failles dans les entreprises, peu importe la taille et le secteur d'activité. Ils mettent ensuite les infos en vente. Un hacker, qui peut être n'importe où dans sa cave, achète un pack. Pour l'exploiter, il a besoin d'un virus qu'il choisit sur le «marché». Il achète alors une sorte de licence. Une fois outillé, il va injecter le rançongiciel dans les entreprises identifiées. Et quand il obtient l'argent de la rançon, comme tout franchisé, il va reverser une commission. Akira est une prestation complète. Il fournit les outils informatiques, le service technique et après-vente. C'est très bien organisé et l'on ressent presque une certaine éthique… quand la rançon a été payée. Ceci en toute transparence, puisque tous les échanges, les pressions, les coups de poker dans la négociation étaient publiés sur le dark web.» Comme une franchise de fast-food Ce que les dirigeants de la PME ont aussi retenu, c'est qu'il est très difficile de lutter contre ces organisations. «Même si une structure est fermée par les autorités, ce n'est pas grave pour les hackers. Ils changent de franchise et cela continue. C'est comme si vous perdiez votre franchise McDo. Le lendemain, vous pouvez ouvrir un Burger King dans le même bâtiment.» Il existe plusieurs dizaines de rançongiciels à disposition des pirates. Et selon le dernier rapport de l'Office fédéral de la cybersécurité (OFCS) publié ce printemps, Akira est celui qui semble le plus utilisé en Suisse, avec quinze attaques réussies en 2024 contre des entreprises. Au total, les autorités ont enregistré 92 signalements l'an dernier (109 en 2023), ce qui est probablement très inférieur à la réalité, les annonces n'étant pas obligatoires. Il n'existe pas non plus de statistiques des dommages subis. Payer ou mourir L'argent, justement. Les dirigeants ne cachent pas qu'ils ont payé une rançon. Combien? «Beaucoup trop. C'étaient des bitcoins en dollars. Habituellement, le montant demandé au départ est d'environ 5% du chiffre d'affaires annuel de la victime.» Puis, un brin sarcastique, Daniel ajoute: «Vu l'évolution de la monnaie cryptée, ils ont en plus fait une belle plus-value.» «Nous n'avions pas le choix, continue Bernard. C'était soit nous payions et nous pouvions espérer à nouveau fonctionner, soit nous mettions la clé sous la porte.» Quant aux données volées, impossible de savoir où elles sont passées: les enquêteurs ont perdu leur trace quelque part au Moyen-Orient. Trois semaines ont été nécessaires avant que l'échange données-bitcoins soit effectué. Daniel: «Les experts ont aussi averti Fedpol (ndlr: Office fédéral de la police) . C'était une sorte de jeu du chat et de la souris. Avec des tests de décryptage, de circulation de l'argent, des coups de pression. L'objectif était de faire baisser le montant demandé, ce qui a été le cas.» Une partie au suspense intenable jusqu'au dernier moment. «Juste après le versement de l'argent, le canal de conversation est resté muet durant deux heures. Invivable! Est-ce que l'argent était perdu sans que l'on ne récupère rien? Heureusement, le contact a été rétabli.» Quant à l'argent versé, les dirigeants ont d'ores et déjà tiré un trait dessus. Même si les bitcoins sont traçables, la chance de le récupérer est minime. Une facture très lourde Fin juin, l'entreprise en était toujours à panser ses plaies dans un environnement économique compliqué. «Depuis plusieurs mois, nous avons recours au chômage partiel. Pas évident dans ces conditions de digérer cette attaque, regrette Daniel. Car outre la rançon, les frais de reconstruction informatique se montent déjà à plusieurs centaines de milliers de francs. Chaque jour, de nouvelles dépenses viennent s'ajouter, car il faut décontaminer chaque recoin du système informatique! Et parfois, la récupération des machines n'est pas possible. Sans compter les pertes dues à l'arrêt de la production durant quatre semaines.» De quoi mettre en péril l'entreprise? «Par philosophie, nous avons l'habitude de constituer des réserves pour financer notre développement. Celui-ci sera freiné, car cet argent sert aujourd'hui à retrouver notre stabilité.» «J'ai dû lutter pour ne pas chialer» Après l'échange, une semaine a été nécessaire pour implémenter les données récupérées. Quand l'entreprise a redémarré, Daniel a réuni tout le personnel: «Nous voulions remercier les services informatiques et les entreprises externes qui nous ont aidés pour leur travail acharné durant cette période difficile. La reconnaissance et l'émotion étaient très fortes. On était en vie. Près de septante ans d'histoire et des dizaines d'emplois étaient sauvés. J'ai dû lutter pour ne pas chialer au milieu de tout le monde. Cela s'est ressenti dans ma voix. Je crois que les gens ont été marqués.» Le chef d'entreprise entend faire en sorte que sa triste expérience marque les esprits dans le tissu économique local et auprès des autorités. «Dans cette histoire, nous n'avons reçu aucun soutien des autorités compétentes. Il a fallu dix jours pour que la police nous dise que finalement, elle ne pouvait rien faire. La plainte contre X transmise au Ministère public? Nous n'avons pas encore reçu d'accusé de réception. Sans parler du fait qu'il n'existe aucune structure, dans notre canton, vers laquelle on pourrait se tourner et qui proposerait, par exemple, une sorte de guide de premiers secours ou un soutien psychologique.» Daniel et Bernard savent désormais mieux que quiconque qu'une attaque de hackers est une question de survie. Et que cela n'arrive pas qu'aux autres. Apparu en 2023, Akira connaît une expansion rapide Le rançongiciel, ou logiciel d'extorsion, Akira est apparu en mars 2023. Il fonctionne comme une société de services, où les développeurs louent ou vendent leur malware à des affiliés. Ces derniers pratiquent ce que l'on appelle la «double extorsion», c'est-à-dire qu'ils cryptent les données pour en bloquer l'accès. Et parallèlement, ils les exfiltrent. Les pirates demandent ensuite de verser une rançon en échange d'une clé de déchiffrement et de la non-diffusion des données dérobées. N'importe qui peut potentiellement l'utiliser. Le logiciel n'a besoin que d'environ deux heures pour voler des données. La localisation des malfrats est pratiquement impossible. Akira se distingue par son style rétro et semble tirer son nom du film d'animation japonais homonyme sorti en 1988. Le rançongiciel est utilisé dans le monde entier et son expansion est très rapide, même si aucune statistique n'existe vraiment. Néanmoins, durant sa première année d'existence, le FBI a estimé qu'il avait permis d'extorquer 42 millions de dollars à 250 organisations. Selon le site , 73 victimes ont été recensées pour le seul mois de novembre 2023. La même source affirme qu'Akira descend du groupe de rançongiciel Conti, soutenu par la Russie, qui a été dissous en 2022. Des cyberattaques quotidiennes en Suisse Newsletter «Dernières nouvelles» Vous voulez rester au top de l'info? «24 heures» vous propose deux rendez-vous par jour, pour ne rien rater de ce qui se passe dans votre Canton, en Suisse ou dans le monde. Autres newsletters Patrick Oberli est journaliste à la cellule enquête de Tamedia depuis juin 2023. Auparavant, il était rédacteur en chef adjoint de Sport Center à Lausanne, fonction qu'il a également occupée à L'Express/L'impartial, L'Hebdo et PME Magazine. Il est lauréat du Prix Dumur 2016. En 2021, il a reçu un Special Awards for Investigation de l'Association de l'Association internationale de la presse sportive. Plus d'infos Vous avez trouvé une erreur?Merci de nous la signaler.
Le Figaro
10-07-2025
- Politics
- Le Figaro
«Le pays est entre les mains d'islamistes, ne nous leurrons pas»: l'inquiétude des chrétiens de Syrie
Réservé aux abonnés Alors que les violences visant la communauté alaouite continuent, la minorité chrétienne, endeuillée par un attentat suicide dans une église de Damas, s'inquiète pour sa sécurité et son avenir dans le pays. Depuis plusieurs jours, des incendies font rage en Syrie. Ils ont dévasté des milliers d'hectares en s'étendant depuis la zone côtière de Lattaquié. Daniel *, qui connaît bien cette région où il a grandi, regarde les flammes détruire tout sur leur passage. Il est inquiet et ne peut s'empêcher de les percevoir comme un symbole du mal qui dévore son pays et comme un signe annonciateur du pire. Daniel est syrien de confession chrétienne. Il n'a jamais envisagé de quitter ce pays, même durant les pires heures de la dictature des Assad, de la violence de la guerre civile ou de la terreur imposée par les djihadistes de Daech. Depuis Damas, où il vit dorénavant, il a vu, en décembre dernier, les hommes du groupe armé islamiste HTC, Hayat Tahrir al-Cham, s'offrir une arrivée en libérateurs après le succès de l'offensive lancée depuis la province d'Idlib. «Ils ont fait fuir Assad et se sont efforcés de montrer un beau visage, soupire Daniel. Leur chef, Ahmed al-Charaa, a taillé sa barbe mais il est…
