Comment les pirates informatiques des casinos ont provoqué l'effondrement numérique de Marks & Spencer

Une cyberattaque attribuée à un gang de jeunes pirates informatiques a mis le géant de la distribution Marks & Spencer dans l'embarras : depuis le 22 avril, il a dû suspendre sa boutique en ligne et ses recrutements en ligne, rencontre des difficultés pour approvisionner ses supermarchés en produits frais et a dû admettre que « certaines données personnelles de ses clients » ont été volées, même s'il maintient que leurs coordonnées bancaires ne l'ont pas été. Le bilan est jusqu'à présent une chute de 14% du marché boursier et 50 millions d'euros de pertes chaque semaine.

Les experts en cybersécurité soulignent que les auteurs de la cyberattaque sont un groupe de pirates informatiques âgés d'une vingtaine d'années, liés au réseau Scattered Spider, qui sous-traitent un programme appelé DragonForce. « Nous sommes face à un cas de Crime as a Service, de crime organisé en tant qu'entreprise », déclare Francesc Xavier Vendrell, analyste senior en cybersécurité chez Parlem Tech, la division de services technologiques de l'opérateur Parlem. Ils ont réussi à introduire dans l'entreprise un programme qui a chiffré leurs données, et ils exigent de l'argent pour le déchiffrer. Si l'entreprise paie, cela contribue à son activité. Et ils n'ont aucune garantie qu'ils leur fourniront les clés, qu'ils fonctionnent ou qu'ils n'ont pas vendu les données de leurs clients.

On pense que Scattered Spider est un groupe de jeunes, principalement britanniques et américains, certains âgés d'à peine 16 ans, qui se sont rencontrés et coordonnés sur des forums numériques. Leur première attaque remonte à 2022, et depuis, ils ont été crédités d'avoir mené une centaine d'attaques contre des entreprises, des opérateurs de télécommunications, des institutions financières et des sociétés du secteur des jeux. Sa dispersion, son absence de hiérarchie et ses opérations décentralisées ont permis au réseau de rester opérationnel malgré l’arrestation de plusieurs de ses membres par la police. La dernière en date, en avril, concernait Tyler Buchanan, un Écossais de 23 ans arrêté en Espagne, d'où il avait été extradé vers les États-Unis.

Les victimes les plus connues de Scattered Spider jusqu'à présent ont été Caesars et MGM Resorts, deux opérateurs de casinos de Las Vegas, à qui l'entreprise a demandé d'énormes rançons. Selon le courtier en assurance cyber-risque Brown & Brown, Caesars leur aurait versé environ 15 millions d'euros pour rouvrir.

Lire aussi

Ces pirates se sont spécialisés dans les attaques d'« ingénierie sociale », qui utilisent de fausses campagnes d'e-mails ou de SMS (phishing ou smishing) pour inciter les destinataires à fournir leurs informations personnelles. Dans le cas de Marks & Spencer, ils ont attaqué les employés informatiques et ont incité les employés clés à mettre à jour leurs mots de passe en les appelant (les pirates de Scattered Spider parlent anglais natif, ils ont donc été convaincus).

Pere Martínez, associé du cabinet de conseil ITech by Plexus, explique que l'attaque montre que « la principale voie d'accès malveillant à une entreprise reste l'erreur humaine » et que dans ce cas, l'attaque aurait pu être évitée « avec un système de double identification plus robuste ».

Cela semble également être le point de vue du Centre national de cybersécurité du Royaume-Uni , qui a publié de nouvelles directives à l'intention des entreprises pour prévenir de telles attaques, exigeant une preuve d'identité supplémentaire pour les employés informatiques ou pour les connexions « à risque » (lorsque quelqu'un se connecte à des heures ou à des endroits inhabituels).

« Nous sommes confrontés à une chaîne d’erreurs », souligne Vendrell. Selon lui, « il semble que Marks & Spencer n'avait pas de plan d'urgence pour faire face à une attaque ou de systèmes de récupération rapide, comme des sauvegardes immuables, par exemple. » Une entreprise ne peut pas se permettre de rester ainsi pendant autant de jours.

Presque au même moment où Marks & Spencer a été attaqué, Harrods et Co-op, deux autres grands détaillants britanniques, ont également été attaqués. Un porte-parole présumé de DragonForce a affirmé sur la BBC que des groupes utilisant ses virus étaient derrière les trois attaques, bien que les autorités britanniques n'aient pas été en mesure de confirmer que les trois attaques avaient été menées par les mêmes individus.

Autres attaques : faux sites Web et robots

José Luis Rojo, associé en cybersécurité au sein du cabinet de conseil EY, affirme que « le commerce de détail est l'un des secteurs les plus exposés aux attaques, car les pirates informatiques peuvent facilement le monétiser. Il existe des groupes de cybercriminels spécialisés dans ce secteur. »

Les ransomwares, ou détournements de données comme celui subi par Marks & Spencer, sont courants dans tous les secteurs, mais les détaillants sont particulièrement vulnérables aux attaques telles que le vol à l'étalage. Nous constatons constamment la création de sites web et de domaines usurpant l'identité de véritables boutiques. Ils remplacent les lettres par un O, par exemple. Et grâce à une campagne d'hameçonnage, ils redirigent les consommateurs vers leur faux site web. De cette façon, ils vous arnaquent (vous ne recevez jamais l'achat que vous avez effectué) et ils volent également vos données pour d'autres escroqueries. « Il existe un véritable marché pour les données personnelles sur le dark web », souligne Rojo.

Lire aussi

Une autre attaque typique du secteur est celle des bots , « le cauchemar des opérateurs de commerce électronique », ajoute Rojo. Ils peuvent suivre toutes les informations du magasin pour proposer des études sur leurs offres et les vendre. Ils saturent le site web, car il y en a parfois trop. Ils peuvent également effectuer des transactions très rapides, achetant de gros volumes de produits en promotion pour les revendre plus tard sur d'autres plateformes, à un prix plus élevé, ce qui nuit aux consommateurs.