Indigo, la plus grande librairie canadienne, a signalé une cyberattaque le mois dernier. Depuis, de nombreux rapports indiquent qu'un gang de cybercriminels a revendiqué la responsabilité de l'attaque qui a compromis des quantités massives d'informations sensibles sur les employés. Indigo compte des milliers d'employés, 86 supermarchés sous les bannières Chapters et Indigo, et 123 magasins de petite taille. BleepingComputer a appris d'une importante organisation de renseignement sur les menaces qu'au moins un marché cybercriminel vendait les informations d'identification d'Indigo volées par le logiciel malveillant StealerLogs.
Pour comprendre les ramifications de l'attaque, il est essentiel de comprendre comment cette brèche s'est produite et ses implications pour les entreprises à l'ère du numérique. Dans cet article de blog, nous examinerons ce que l'on sait à ce jour sur le piratage d'Indigo et discuterons des meilleures pratiques potentielles que les organisations peuvent intégrer dans leurs propres stratégies de sécurité.
Le 8 février, le site web d'Indigo a finalement été mis hors service par ce que l'entreprise a admis la semaine dernière être une attaque de ransomware. Les clients continuent de rencontrer des problèmes pour accéder à leurs commandes en ligne. Et pendant au moins une semaine, même ceux qui ont fait leurs achats en personne ont été touchés, car la brèche avait également mis hors service les ordinateurs des magasins.
Depuis, Indigo a créé un site web temporaire. Il peut désormais accepter les paiements en magasin par carte de débit, carte de crédit et carte-cadeau. Mais le nouveau site ne permet aux clients que de naviguer, avec la possibilité d'acheter "certains livres" en ligne. Les services d'expédition et de livraison de l'entreprise continuent également d'être affectés par l'attaque.
Il y a quelques jours, la société a déclaré : "Le 8 février 2023, Indigo a subi une attaque de ransomware", dans une FAQ mise à jour sur son site web. "Grâce à notre enquête, nous avons appris qu'il n'y a aucune raison de croire que les données des clients ont été consultées de manière inappropriée, mais que certaines données des employés l'ont été."
"Nous informons tous les employés concernés", indique le site. "Nous avons également informé les autorités policières et coopérons avec elles. "Depuis cet incident, nous travaillons avec des experts tiers pour renforcer nos pratiques en matière de cybersécurité, améliorer les mesures de sécurité des données et revoir nos contrôles existants.
À l'heure où nous écrivons ces lignes, l'entreprise a pu rétablir les ventes en ligne de livres, mais pas celles des autres articles qu'elle vend. En outre, elle a décidé de ne pas payer de rançon après qu'une cyberattaque a mis hors service les activités de commerce électronique du détaillant canadien le mois dernier.
Dans une lettre interne envoyée au personnel par courrier électronique mercredi en fin de journée, le président d'Indigo, Andrea Limbardi, a déclaré que le réseau de l'entreprise avait été "illégalement accessible à l'aide d'un logiciel de ransomware connu sous le nom de LockBit", un logiciel malveillant spécifique qui porte le même nom que l'organisation criminelle qui en est à l'origine et qui a des liens avec la Russie.
L'attaque semble avoir été menée à l'aide de tactiques assez avancées ; les pirates pourraient avoir utilisé des exploits de type "zero-day" ou des vulnérabilités non découvertes auparavant pour accéder au réseau d'Indigo. Il semble également que les auteurs de la menace disposaient d'une certaine forme de connaissance interne, puisqu'ils ont pu accéder au réseau de l'entreprise sans être détectés pendant plusieurs mois avant que l'attaque ne soit découverte.
Comme tout incident de cybersécurité, cet événement a suscité des discussions sur la manière d'éviter à l'avenir des violations aussi dévastatrices. Bien qu'il soit impossible de se défendre contre une vulnérabilité de type "jour zéro", les organisations doivent s'assurer que leurs équipes de réponse aux incidents sont prêtes et que leurs données sont cryptées pour éviter qu'elles ne tombent entre de mauvaises mains. En outre, elles devraient également s'assurer qu'elles disposent de procédures de sauvegarde adéquates afin de pouvoir récupérer rapidement les données perdues en cas d'attaque, sans en compromettre l'intégrité. Enfin, les entreprises devraient organiser régulièrement des séances de formation à l'intention des membres de leur personnel sur les meilleures pratiques à adopter lors de l'utilisation d'outils numériques, afin de réduire le risque de violation de données.
Selon Sharon Polsky, présidente du Conseil d'accès à l'information et de protection de la vie privée du Canada, si les Canadiens risquent d'être victimes d'un vol d'identité à la suite d'une cyberattaque, c'est en partie parce que des entreprises telles qu'Indigo conservent trop d'informations pendant trop longtemps.
"Nous devons nous tourner vers nos employeurs et leur demander pourquoi ils conservent ces informations", a-t-elle déclaré, soulignant que la législation nationale n'est peut-être pas suffisante pour protéger les données canadiennes, car de nombreuses entreprises stockent leurs informations sur des serveurs internationaux. Par ailleurs, les organisations de cybercriminalité opèrent souvent en dehors des juridictions.
"Nous ne pouvons pas nous référer à une législation qui date, au mieux, de 20 ans et qui a été élaborée avant que toutes ces technologies ne soient envisagées", a déclaré M. Polsky.
Le piratage d'Indigo nous rappelle une fois de plus que même les réseaux les plus sécurisés peuvent être vulnérables aux attaques. Bien qu'il soit impossible de garantir une protection à 100 %, les entreprises devraient prendre des mesures proactives pour réduire le risque qu'un incident aussi dévastateur se produise à l'avenir. En renforçant leurs mesures de cybersécurité et en apprenant à leur personnel à utiliser les outils numériques en toute sécurité, les entreprises peuvent se protéger contre les menaces potentielles. Dans ce paysage de la cybersécurité en constante évolution, les organisations doivent rester vigilantes et garder une longueur d'avance sur les pirates informatiques afin de préserver la sécurité de leurs informations sensibles.
