La cyberattaque qui a touché la filiale américaine de Ruag et la rançon ensuite payée aux pirates informatiques font l'objet d'une enquête menée par le Département fédéral de la défense (DDPS), a indiqué lundi le Conseil fédéral. Il continue de recommander de ne pas céder aux demandes de rançon.
Le groupe de hackers Akira avait attaqué les systèmes informatiques de la filiale Ruag LLC en Virginie (Etats-Unis) en automne dernier. Des données y avaient été dérobées, puis les pirates informatiques avaient menacé de les publier sur le dark web, en exigeant une rançon.
«Un petit montant»
L'entreprise d'armement appartenant à la Confédération Ruag MRO a payé «un petit montant», avait indiqué au début du mois le président de son conseil d'administration Jürg Rötheli sur les ondes de la radio alémanique de service public SRF. Il n'avait pas communiqué de somme précise. L'entreprise avait ainsi pu récupérer toutes les données.
Dans une réponse conjointe à sept conseillers nationaux, le gouvernement écrit que les circonstances concrètes de l'incident ainsi que le paiement de la rançon sont en train d'être examinés par le DDPS, avec le soutien de Ruag MRO. Le DDPS en informera ensuite les commissions parlementaires de surveillance.
«En tout état de cause», le Conseil fédéral continue à soutenir la recommandation de l'Office fédéral de la cybersécurité (OFCS) de ne pas céder aux demandes de rançon en cas d'incident impliquant un rançongiciel. L'OFCS souligne que ces fonds alimentent des activités criminelles.
Un groupe de hackers connu
Le groupe Akira fait partie des organisations qui recourent aux rançongiciels à l’échelle internationale. Apparue en mars 2023, la bande pratique la «double extorsion»: les données sont d’abord volées puis chiffrées, et les auteurs exigent une rançon pour leur déchiffrement et pour éviter leur publication. Les paiements sont généralement demandés en cryptomonnaies, souvent en Bitcoin.
Le groupe de hackers utilise des logiciels spécifiques et une infrastructure informatique répartie dans plusieurs pays. Les autorités suisses avaient déjà mis en garde contre une hausse des attaques attribuées à Akira, avec environ 200 entreprises touchées dans le pays.
La filiale Ruag LLC concernée emploie huit personnes. Elle sert de bureau de liaison avec des partenaires américains et fournit notamment des pièces de rechange pour des avions de combat ainsi que des services de maintenance. Ruag MRO avait précisé que la filiale américaine disposait de systèmes informatiques autonomes, limitant l'impact de l'attaque sur le reste du groupe.
