Les attaques contre les systèmes IA et la désinformation ont été au cœur d’un exercice de simulation de ransomware auquel CSO a participé lors de la conférence Infosecurity Europe qui s’est tenue ce mois-ci. L’exercice « Enter the War Room » - organisé et animé par le fournisseur de solutions de cybersécurité Semperis - proposait un scénario axé sur une cyberattaque contre une chaîne de supermarchés fictive, BlueCart. CSO a pris part à cet exercice en tant que l’un des huit membres d’une red team composée de cyberattaquants supposés liés à un État (APT 64, alias Checkout Chaos), dont l’objectif était autant de ternir la réputation des supermarchés ciblés et de provoquer des perturbations que de générer des profits. L’année dernière, nous avions participé à un exercice similaire, également organisé par Semperis, mais dans l’équipe adverse, en tant que conseiller média d’une blue team chargée de défendre les systèmes d’un service des eaux fictif.

Les exercices sur table consacrés aux ransomwares placent les participants dans un scénario de cyberattaque réaliste mais fictif, où chaque équipe dispose de 10 minutes à tour de rôle pour élaborer ses plans d’attaque et de défense avant de présenter ses conclusions à l’autre camp. Chaque tour comprend un cycle attaque-réponse, Semperis jouant le rôle de maître de jeu. L’exercice dans son ensemble a duré environ deux heures. À l’instar de nombreux exercices sur table, cette simulation particulière a été conçue pour amener les participants à sortir des sentiers battus, à améliorer la communication entre les équipes et à développer de meilleures capacités de réponse aux incidents en mettant en évidence les angles morts. Chaque équipe était composée de sept participants issus d’organisations des secteurs public et privé, parmi lesquels figuraient d’anciens hackers, des consultants en sécurité et des responsables de la réponse aux incidents. Contrairement à l’édition 2025 de l’événement, les noms et identités des participants sont restés confidentiels cette année.

Une phase de reconnaissance

Cible de l’exercice « Enter the War Room » de cette année, le distributeur alimentaire BlueCart dispose d’un centre de commande de la chaîne d’approvisionnement optimisé par l’IA, conçu pour offrir une visibilité globale sur les stocks, la logistique et la préparation des commandes. Ce système joue un rôle essentiel pour garantir le réassort des rayons et la fluidité des livraisons. La logistique, la planification, les opérations d’entrepôt et la préparation des commandes en magasin ont été centralisées au sein d’un nouveau centre technologique et opérationnel.

L’équipe rouge a commencé par une phase de reconnaissance afin d’identifier un fournisseur ou un partenaire logistique disposant déjà d’une connexion sécurisée au centre de commande IT, puis a utilisé ce point d’ancrage pour accéder à des portails partagés, des API ou des outils d’accès à distance. Une combinaison d’identifiants volés à des développeurs, d’une mise en œuvre insuffisante de l’authentification multifactorielle (MFA) et de comptes de service dotés de privilèges excessifs a été utilisée pour pirater les systèmes de planification et de gestion des stocks et voler les données des cartes de fidélité — trois des nombreux vecteurs d’accès couramment utilisés aujourd’hui. Les attaquants ont également tenté de s’introduire dans l’environnement Active Directory de BlueCart en combinant hameçonnage et vol d’identifiants.

Ciblage du réseau et de la réputation

Les pirates ont également cherché à exploiter le réseau de gestion des bâtiments du détaillant, mal segmenté, afin de perturber les systèmes de chauffage, de climatisation et de ventilation. L'équipe bleue, chargée de la défense, a décidé de rejeter les demandes des auteurs du rançongiciel, ce à quoi ces derniers ont réagi en divulguant des données relatives au programme de fidélité afin de nuire à la réputation de BlueCart. Les attaquants ont généré des milliers de fausses alertes afin de semer la confusion parmi les analystes des opérations de sécurité et d’entraver leur capacité de réaction. Pour contrer cette stratégie, les défenseurs ont mis en place des canaux de communication subsidiaires.

Poursuivant leurs tentatives visant à perturber les opérations de BlueCart, les attaquants ont perturbé les opérations de paie. Exploitant les suppressions d’emplois liées au passage à des opérations basées sur l’IA, les attaquants se sont tournés vers des réseaux sociaux tels que Reddit et 4chan pour tenter de provoquer des hacktivistes et les inciter à participer aux attaques contre BlueCoat. Les attaquants ont également créé un deepfake du CEO de BlueCart — donnant l’impression d’avoir été filmé sur son yacht privé — dans lequel il affirmait que ces suppressions d’emplois permettraient à la société d’augmenter ses bénéfices et d’étendre ses activités. Les attaquants ont généré de fausses commandes de livraison pour des produits inappropriés, tels que des jouets sexuels, et des denrées périssables comme de la crème glacée.

Un entraînement plein d'enseignements

La blue team a déclaré avoir mis en place un honeypot afin que les attaquants évoluent exclusivement dans cet environnement et n'aient jamais accès à son système réel ni aux données de ses clients. L'exercice sur table a offert une expérience immersive sans comporter d'analyse de données techniques, telles que des fichiers journaux spécifiques à l'exercice. À l’issue du test, Guido Grillenmeier, responsable des technologies chez Semperis, a expliqué que « Enter the War Room » n’était pas un exercice théorique technique, mais un moyen pour les participants « d’élargir leurs horizons et de s’amuser ». Le scénario avait été conçu pour affiner la préparation aux cyber-incidents, à l’instar des jeux de guerre utilisés pour former les forces armées en temps de paix.

Simon Hodgkinson, conseiller stratégique chez Semperis, a déclaré que cet entraînement illustrait à quel point la préparation et la résilience réelles dépendent davantage des personnes et des processus que des outils. « L’équipe bleue était bien structurée ; elle réfléchissait à la manière de minimiser l’impact financier et réputationnel sur l’entreprise et reconnaissait que, si l’équipe rouge venait à déclencher sa capacité destructrice, elle devrait établir des priorités et mettre en place un fonctionnement minimal viable », a déclaré M. Hodgkinson. « L’équipe rouge s’est montrée innovante, utilisant des techniques telles que la désinformation pour détourner l’attention de l’équipe bleue afin d’atteindre son objectif », a-t-il ajouté « Bien que leur motivation ne fût pas d’ordre financier, elle a tout de même saisi l’occasion de gagner de l’argent en manipulant les médias et en vendant des actions à découvert. »