Cela fait plus de 6 jours que les services en ligne de Travelex sont hors d'usage. L'enseigne positionnée dans les échanges de devises internationales est en effet durement frappée par un ransomware ayant infecté ses systèmes informatiques. Résultat : les clients de la société ne sont plus du tout en mesure d'utiliser le site web de Travelex, pas plus que son app pour réaliser des transactions et effectuer des paiements par cartes de crédit ou de débit. Le réseau de bureaux de change physique n'est en revanche pas concerné. Des centaines de plaintes ont été émises via les réseaux sociaux de l'entreprise depuis le début du blocage. « Travelex confirme avoir été touché par un virus le 31 décembre ce qui a affecté certains de ses services. Par mesure de précaution,  afin de protéger les données et d'empêcher la propagation du virus, nous avons immédiatement mis nos services hors ligne. Notre enquête à ce jour n'indique pas que les données personnelles de nos clients aient été compromises », a indiqué Travelex dans un message publié sur son compte Facebook

Les origines de l'infection n'ont pas été officiellement précisées. Une source interne rapportée par notre confrère ComputerWeekly.com a indiqué qu'il s'agissait du ransomware Sodinokibi alias REvil. « On nous a dit que l'extension ajoutée à certains des fichiers chiffrés était une chaîne de plus de cinq caractères aléatoires, similaire à .u3i7y74. Ce malware ajoute généralement différentes extensions aux fichiers verrouillés sur d'autres systèmes informatiques », a expliqué de son côté Bleeping Computer. En termes de périmètre, le chiffrement par le ransomware est critique car il concerne l'ensemble du réseau informatique de Travelex. Plus de 5 Go de données personnelles, incluant des dates de naissances, des numéros de sécurité sociale ainsi que des données de cartes de crédit, ont été copiées par les pirates et une rançon de 3 millions de dollars a été demandée, toujours de source interne. 

Le manque de sécurisation en question

De mauvaises pratiques de sécurité de Travelex ont-elles constitué un point de fragilité ayant permis cette infection majeure ? Bleeping Computer indique que la société a utilisé la solution Pulse Secure VPN pour sécuriser ses communications, frappée il y a quelques mois par une « incroyablement mauvaise » vulnérabilité (CVE-2019-11510) ayant débouché sur un exploit public ayant concerné près de 15 000 systèmes. Le directeur cybersécurité de Thomas Cook, Kevin Beaumont, a par ailleurs découvert que Travelex avait sur sa plateforme cloud Amazon des serveurs Windows exposés qui n'avaient pas la fonctionnalité d'authentification réseau activée. Cela signifie que n'importe pouvait se connecter aux serveurs du groupe avant de s'authentifier.