Le groupe de ransomware Unsafe revendique une violation de données chez Deutsche Bank

Un groupe de ransomware se faisant appeler Unsafe a revendiqué la responsabilité de la violation de Deutsche Bank, l'une des plus grandes institutions financières mondiales, et a publié ce qu'il affirme être des preuves issues de bases de données pour étayer cette revendication. La violation de données présumée de Deutsche Bank par un ransomware a exposé des identifiants d'employés et des données internes, soulevant immédiatement des inquiétudes quant à la manière dont ces informations pourraient être utilisées dans des attaques ultérieures visant à la fois la banque et ses clients.

Deutsche Bank n'a pas confirmé publiquement la violation à l'heure où nous écrivons ces lignes, et l'étendue complète de l'incident fait toujours l'objet d'une enquête. Mais la revendication elle-même, étayée par ce qui semble être des échantillons de données divulguées, suffit à justifier une attention sérieuse de la part des professionnels de la sécurité comme des utilisateurs ordinaires.

Ce que le groupe de ransomware Unsafe prétend avoir dérobé

Selon les rapports citant les données divulguées, la violation concerne des identifiants d'employés, avec au moins 353 jeux d'informations de connexion qui auraient été compromis. Les données incluraient des enregistrements internes qui donneraient aux attaquants une cartographie détaillée de la structure du personnel de Deutsche Bank.

Pour les groupes de ransomware, ce type de données sert deux objectifs. Premièrement, elles peuvent être utilisées directement pour tenter des prises de contrôle de comptes ou obtenir un accès plus étendu aux systèmes de l'entreprise. Deuxièmement, elles peuvent être vendues ou publiées comme moyen de pression, afin d'inciter l'organisation ciblée à payer une rançon pour éviter une exposition supplémentaire. Le groupe Unsafe semble utiliser la seconde stratégie, en publiant publiquement des échantillons présumés de bases de données pour démontrer sa portée et créer un sentiment d'urgence.

Il convient de noter que les groupes de ransomware exagèrent régulièrement l'ampleur des violations pour maximiser la pression. Cela dit, même une fuite partielle de données d'employés comporte un risque significatif en aval, ce qui nous amène à la préoccupation la plus concrète.

Comment les données d'employés divulguées alimentent les attaques de phishing et d'ingénierie sociale

Lorsqu'une base de données contenant des noms, adresses e-mail, intitulés de postes et identifiants d'employés se retrouve sur le web ouvert, cela ne menace pas seulement l'organisation qui a été compromise. Elle crée une boîte à outils pour les attaquants qui ciblent toutes les personnes liées à cette organisation, y compris les clients, les partenaires et les fournisseurs.

Les campagnes de phishing construites à partir de données d'employés réelles sont bien plus convaincantes que les arnaques génériques. Un attaquant qui connaît le nom, le service et le format d'e-mail interne d'un employé spécifique de Deutsche Bank peut rédiger un message qui semble parfaitement légitime aux yeux du destinataire. Ce type d'attaque par spear-phishing, ciblée plutôt que distribuée massivement, est responsable d'une grande proportion des cyberattaques réussies contre les entreprises.

L'ingénierie sociale va plus loin. Les attaquants peuvent se faire passer pour des employés lorsqu'ils contactent les services d'assistance informatique, les fournisseurs ou même les clients, en utilisant de véritables détails internes pour passer les vérifications d'identité. C'est précisément la raison pour laquelle la violation de l'Agence française d'identité exposant 12 millions de comptes a suscité des inquiétudes bien au-delà de l'agence elle-même. Les fuites de données institutionnelles se propagent en cascade, et les individus situés à l'extrémité de cette chaîne la voient rarement venir.

Ce que la violation de Deutsche Bank révèle sur les défaillances d'hygiène des données en entreprise

Les institutions financières font partie des entités les plus réglementées en matière de sécurité des données. Elles investissent massivement dans des infrastructures de cybersécurité, ce qui rend une violation revendiquée de cette ampleur notable plutôt que routinière.

Ce qui échoue souvent, ce n'est pas le périmètre, mais l'intérieur. Les identifiants d'employés stockés dans des bases de données accessibles, des contrôles d'accès insuffisants segmentant les systèmes internes et une détection tardive contribuent tous à des violations que les groupes de ransomware sophistiqués peuvent exploiter. Une fois à l'intérieur d'un réseau, les attaquants peuvent souvent se déplacer latéralement pendant des semaines ou des mois avant de déclencher une alarme visible.

L'exposition d'identifiants signalée ici pointe également un problème plus large : les organisations conservent souvent plus de données d'employés dans des formats centralisés et accessibles que nécessaire. Réduire ce qui est stocké, l'endroit où cela est stocké et les personnes qui y ont accès réduit les dommages que toute violation individuelle peut causer. Ce principe s'applique aussi bien à une banque multinationale qu'à une petite entreprise, ou même à un individu gérant ses propres comptes.

Des incidents de données à grande échelle, comme la violation de Novo Nordisk impliquant 1,3 To de données cliniques volées, rappellent qu'aucun secteur n'est à l'abri et que le volume de données sensibles accumulées par les organisations crée un risque composé au fil du temps.

Mesures concrètes que les utilisateurs et les entreprises peuvent prendre pour limiter l'exposition

Que vous travailliez dans une grande institution ou que vous y déteniez simplement des comptes, il existe des actions concrètes qu'il vaut la peine d'entreprendre face à une nouvelle comme celle-ci.

Vérifiez votre exposition aux violations. Les services qui surveillent si votre adresse e-mail est apparue dans des fuites de données connues peuvent vous alerter lorsque les identifiants liés à vos comptes circulent en ligne. Si vous avez une quelconque relation avec Deutsche Bank, considérez cela comme une incitation à revoir la sécurité de votre compte.

Changez les mots de passe et activez l'authentification multifacteur. Si le mot de passe que vous utilisez pour le travail ou les services bancaires apparaît ailleurs, modifiez-le dès maintenant. L'authentification multifacteur réduit considérablement la valeur des identifiants volés pour les attaquants.

Méfiez-vous des contacts inattendus. Dans les semaines qui suivent une violation majeure, les tentatives de phishing liées à cette institution augmentent généralement. Traitez tout e-mail, appel ou message non sollicité faisant référence à votre compte, à une demande urgente ou à des informations internes avec une suspicion accrue, même si les détails semblent exacts.

Pour les entreprises, auditez ce que vous stockez. Si votre organisation conserve des données d'employés ou de clients dans des bases de données centralisées, c'est le moment pratique de vous demander s'il est nécessaire que toutes ces données s'y trouvent, qui y a accès et si les journaux d'accès sont surveillés.

La violation de données revendiquée par le ransomware Unsafe chez Deutsche Bank est un rappel que la sécurité des données institutionnelles et la sûreté numérique individuelle ne sont pas des préoccupations séparées. Lorsque de grandes organisations sont compromises, l'exposition se propage bien au-delà de leurs propres murs. Revoir sa propre exposition aux violations et renforcer ses pratiques de sécurité personnelles n'est pas une réaction excessive ; c'est une réponse proportionnée à la manière dont ces incidents se déroulent réellement.