La Fédération française de rugby visée par une cyberattaque : "Les menaces des pirates sont à prendre au sérieux"

Coup dur pour la "Fédé" de rugby. Huit jours après l'élection de son nouveau président, Florian Grill, et à deux mois et demi du début de la Coupe du monde en France, la Fédération française de rugby (FFR) a confirmé jeudi 22 juin avoir été victime d'une cyberattaque dans la nuit du mercredi 7 au jeudi 8 juin qui a principalement affecté les serveurs de messagerie.

D'après le site spécialisé LeMagIT, premier à révéler l'incident mercredi, l'instance a été visée par le groupe de pirates informatiques Play Ransomware. "Ce groupe de hackers est spécialisé dans le rançonnage d'entreprises. Sa signature est assez simple : il utilise un rançongiciel, ou ransomware en anglais, un logiciel qui chiffre les données en rajoutant une extension en '.play' pour les rendre illisibles", explique Arnaud Lemaire, directeur technique au sein de l'entreprise de cybersécurité F5, joint par RTL. 

Observé l'an passé pour la première fois en Amérique du Sud, ce groupe s'est depuis étendu au monde entier et a déjà ciblé le département des Alpes-Maritimes et BMW France ces derniers mois. Il est coutumier de la double extorsion - le chiffrement des données puis leur divulgation publique - et ne poursuit pas un objectif géopolitique. "Ses motivations sont purement financières. Ses menaces sont à prendre au sérieux car il les a souvent mises à exécution", souligne Arnaud Lemaire.

Des données privées pourraient être divulguées, dont des passeports d'employés

Les pirates ont revendiqué l'attaque. Ils affirment être en possession de données personnelles et privées d'employés de la FFR et de clients, notamment des passeports et des données relatives aux ressources humaines. Ils menacent de divulguer ces documents le 27 juin si la FFR refuse de négocier avec eux. "La FFR n'a reçu aucune demande de rançon à ce jour et ne souhaitera pas y répondre le cas échéant", assure l'instance dans un communiqué.

L'attaque a été identifiée le 8 juin à midi par les équipes de la FFR qui "ont rapidement pris des mesures pour éliminer le logiciel malveillant". La FFR a "immédiatement communiqué auprès des usagers du système d'information visé et communiquera comme il se doit avec l'ensemble des personnes susceptibles d'être concernées". Une première déclaration de l'incident a été faite à la CNIL. La FFR est en lien avec les services de police pour gérer la situation.

Deux semaines après l'incident, la fédération française de rugby dit être "dans l’impossibilité de récupérer les historiques des activités d’une partie des boîtes de messagerie qui ont été chiffrées lors de l’attaque". Elle continue "à rechercher et analyser les données qui auraient pu être exfiltrées dans le cadre de cette attaque, y compris les e-mails, les contacts et les informations de calendrier".