Au début janvier, le groupe derrière le ransomware Lockbit revendiquait une attaque contre le groupe Thales. Il laissait à la société française jusqu’au 13 janvier pour payer une rançon sinon le gang promettait de publier des données dérobées. Interrogé alors sur cette affaire, Thales avait indiqué que « malgré le fait que nous n'ayons reçu aucune notification directe de rançon, nous prenons cette allégation encore infondée - et quelle que soit sa source - au sérieux. Une équipe dédiée d'experts en sécurité enquête actuellement sur la situation. À ce stade, il n'y a aucune preuve factuelle de cette attaque, néanmoins nous continuons à conduire des investigations, la sécurité de nos données étant une priorité. »

Aujourd’hui, des spécialistes de la sécurité ont précisé sur Twitter que Lockbit est passé à l’action en dévoilant certaines données en sa possession. Sofiane Tahiri indique « Lockbit a publié les données volées à Thales. Et bien, je pense que les données proviennent vraiment de Thales. Le groupe de ransomware a probablement compromis quelques dépôts de manière aléatoires, mais pas le réseau interne ». Il ajoute à la suite de son message, « il y a plus de 800 Mo de code. Les projets sont véridiques. Maintenant la question est de savoir d’où cela vient vraiment ». Plusieurs captures d’écran montrent des archives sur des éléments de développement (microservices, conteneurs, bases de données) et des dossiers (Thales-SpaceOps2, Thalisman ou la marketplace Trustnest), ainsi que des courriels avec des adresses ThalesAleniaSpace.

Thales confirme et minimise

Interrogé sur cette publication, Thales a répondu que « suite au compte à rebours lancé par le ransomware Lockbit, hier les 1320 fichiers volés ont été publiés sur leur site Web. Après une analyse préliminaire, le groupe a rapidement réussi à identifier la plupart des fichiers volés qui semblent avoir été copiés à partir d'un serveur de dépôt de code (code repository), hébergeant des données à faible niveau de sensibilité et qui est extérieur aux principaux systèmes d'information du groupe Thales ».

La société ajoute, « la protection des données de nos clients étant notre priorité absolue, nous prenons contact avec les parties concernées pour discuter et informer chacune d'entre elles d’actions correctives potentielles. » Il reste maintenant à savoir comment ce dépôt de code a pu être exposé…