Les faits remontent au 18, 19 et 20 janvier et ont mis en émoi les entreprises de la Loire et du Jura. Selon la presse locale (Voix du Jura, France 3 Bourgogne Franche-Comté, Le Progrès, FranceBleu…) des dizaines d’entreprises et collectivités locales ont été infectées par un cryptolocker rendant leurs données inutilisables. Parmi les victimes : le club de ligue 1 de foot, l’AS Saint-Etienne qui s’est vu demander une rançon de 1,5 M€ pour récupérer ses données.
Point commun des victimes : elles seraient toutes clientes ou anciennes clientes du fournisseur de services infogérés Xefi. « Au total, nous avons eu une trentaine de clients touchés, confirme Sacha Rosenthal, président du prestataire. Mais ce ne sont pas nos datacenters qui ont été attaqués, précise-t-il immédiatement. Les attaquants sont passés par les serveurs des clients. »
Pour s’introduire, les hackers auraient compromis les identifiants de l’outil d’administration à distance Kaseya que Xefi a longtemps utilisé pour accéder aux systèmes de ses clients. Un logiciel que Xefi a toutefois abandonné il y a six mois au profit de la solution du Français RG System, selon Sacha Rosenthal. Mais chez certains clients, Kaseya n’aurait pas été désinstallé.
Xefi assure avoir restauré rapidement les données de tous ses clients concernés. Tous sauf cinq qui n’avaient pas souscrit son service de sauvegarde externalisée. Quant à l’AS Saint-Etienne, il n’était plus sous contrat depuis six mois.
Sacha Rosenthal l’assure, cette affaire a fait beaucoup de tort à Xefi, notamment sur la ville de Dole où la presse régionale a relayé des témoignages de clients infectés en faisant explicitement le lien avec Xefi. Le PDG a songé un moment publier un communiqué pour expliquer que la responsabilité de Xefi n’était pas en cause et que la quasi-totalité des clients avaient été rétablis mais il explique y avoir renoncé pour ne pas donner plus d’ampleur qu’elle n’en méritait à l’affaire.
« La presse locale a fait tout un plat d’un épiphénomène, estime-t-il. Des attaques en cryptolockage, on en subit toute l’année et jusqu’à présent nos systèmes n’ont pas été compromis ». À la question de savoir si depuis cette affaire, Xefi a pris des mesures supplémentaires pour renforcer la sécurité de son infrastructure, Sacha Rosenthal réaffirme que son dispositif actuel n’a pas été mis en défaut. Celui-ci est constitué de la pile complète Check Point pour la sécurité des datacenters complétée par F5 pour la sécurisation des front office. Côté clients, l’hébergeur s’appuie sur des sauvegardes externalisée EMC Avamar et sur la suite Sophos sur les infrastructures clients.
En revanche, Sacha Rosenthal ne cache pas qu’il a demandé à ses équipes de redoubler leurs efforts marketing et commerciaux pour convaincre les 5% de ses clients qui ne l’ont pas encore fait de souscrire à son service de sauvegarde externalisée.
Addendum du 7 octobre 2021 :
Dans son dernier bulletin consacré à l’état de la menace rançongiciel à l’encontre des entreprises et des institutions daté du 1 septembre dernier, le CERT (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques) confirme que Xefi a bien été compromis en janvier 2020 par un rançongiciel, « qui s’est propagé sur les réseaux de ses clients par le biais d’un outil de supervision ». Le CERT précise que 200 entreprises du Centre-Est de la France ont ainsi été affectées à plus ou moins grande échelle.