Seize heures, diffusées en direct, dans les derniers jours d'août
Entre le 31 août et le 3 septembre 2024, deux adolescents ont démonté le système d'information de l'organisation qui fait circuler Londres, et en ont diffusé une partie en direct pendant qu'ils travaillaient. Le 16 juillet, devant la Woolwich Crown Court, Mr Justice Turner a condamné Owen Flowers, 18 ans, originaire de Walsall, et Thalha Jubair, 20 ans, de Bow dans l'est de Londres, à cinq ans et six mois chacun, une peine qui intègre déjà une réduction de 15 pour cent au titre des plaidoyers de culpabilité déposés en juin. Tous deux étaient poursuivis pour leur rôle dans l'intrusion chez Transport for London, l'autorité responsable du métro, des bus et des routes empruntés chaque jour par des millions de personnes.
La National Crime Agency n'a pas présenté ce dossier comme une affaire ordinaire. Paul Foster, directeur adjoint de l'agence, y a vu la plus grande poursuite pour cybercriminalité jamais portée devant les tribunaux britanniques, et a décrit le groupe qui se trouve derrière comme la menace cybercriminelle la plus sérieuse pesant sur le Royaume-Uni. Les deux condamnés évoluent dans le réseau informel que les chercheurs désignent sous le nom de Scattered Spider, la même nébuleuse associée à l'attaque contre MGM Resorts en 2023 et à la vague qui a frappé les enseignes britanniques en 2025. Jubair est à lui seul accusé d'avoir compromis 120 réseaux appartenant à 47 organisations des États-Unis, une activité liée à plus de 115 millions de dollars de rançons versées.
Ce qui rend cette affaire digne d'une heure de l'attention de n'importe quel opérateur, ce n'est pas la peine. C'est l'arithmétique qui la sous-tend. TfL n'a pas payé de rançon. Aucun versement d'extorsion, aucune négociation, aucun transfert en cryptomonnaie vers un groupe qui avait pourtant déjà prouvé qu'il savait entrer. L'organisation a refusé, s'est rétablie, et a tout de même enregistré une facture d'environ 29 millions de livres, soit à peu près 33 millions d'euros. Ce chiffre est le prix honnête de cette attaque, et c'est celui qui a sa place dans votre propre planification, parce qu'il représente ce qui se produit quand la réponse à la demande est non.
Ils n'ont pas forcé la porte. Ils ont appelé le service desk
La voie d'entrée ne comportait absolument aucun élément exotique. Les attaquants se sont procuré des identifiants partiels sur des forums criminels, ce matériau fragmentaire qui s'accumule au fil d'années de brèches sans rapport entre elles et qui coûte très peu. Des identifiants partiels ne sont pas un accès. Ce qui les a transformés en accès, c'est l'étape suivante : du phishing et de l'ingénierie sociale visant des personnes, et un service desk que l'on pouvait convaincre de réinitialiser l'authentification multifacteur après que l'un des attaquants s'est fait passer pour un employé. Le second facteur a fait exactement ce pour quoi il avait été conçu. Il a simplement été remis par le processus qui existe pour aider les collaborateurs qui ne peuvent plus accéder à leur compte.
C'est la partie inconfortable, parce que le contrôle défaillant ne figure sur aucun schéma d'architecture. Les organisations achètent du MFA puis inscrivent le risque comme traité. Le risque résiduel réside dans le chemin de récupération, et ce chemin de récupération est un être humain sous pression temporelle dont le métier est de rendre service, jugé sur la vitesse à laquelle la file se vide, et qui n'a aucun moyen fiable de prouver que la voix anxieuse au bout du fil correspond bien au nom inscrit sur le ticket. Tout système d'identité durci de la planète est livré avec une voie de contournement, et cette voie de contournement est tenue par quelqu'un que l'on mesure à sa rapidité.
L'expertise judiciaire dessine un dossier bâti sur des choses ordinaires plutôt que sur des choses ingénieuses. Un ordinateur portable Acer appartenant à Flowers contenait des journaux d'accès à des infrastructures distantes, des vidéos et des captures d'écran de l'attaque elle-même, des tableurs d'identifiants d'employés de TfL, et des relevés de paiement en cryptomonnaie qui correspondaient à des commandes de livraison de repas envoyées à sa propre adresse. La même machine portait des artefacts la reliant à des intrusions chez les prestataires de santé américains SSM Health et Sutter Health. Les personnes qui ont coûté 29 millions de livres à une autorité de transport se faisaient livrer le dîner dans l'appartement d'où elles opéraient.
Vingt-huit mille personnes, une file d'attente, aucun raccourci
Voici où l'argent est réellement parti. Environ 28 000 employés de TfL ont dû se présenter physiquement dans un bureau pour que leur mot de passe soit réinitialisé par un autre humain capable de voir leur visage. Pas un lien par courriel. Pas un portail en libre-service. Pas un appel au service desk, puisque le service desk était précisément ce dont on avait abusé. Quand le système d'identité lui-même est suspect, chaque canal distant permettant de prouver qui vous êtes hérite de cette suspicion, et le seul instrument restant qu'un attaquant ne peut pas contrefaire à grande échelle est la présence physique. Voilà le moteur du coût, et c'est un problème de logistique qui porte une étiquette de cybersécurité.
Faites le calcul pour votre propre organisation, parce qu'il est impitoyable et que personne ne le fait à l'avance. Prenez votre effectif. Divisez-le par le nombre de personnes que vous pourriez raisonnablement identifier en personne, par heure, sur l'ensemble des sites que vous exploitez, un jour où vos systèmes sont à terre et où vos collaborateurs ne peuvent pas recevoir les consignes par courriel. Ce quotient est votre délai de rétablissement, et il ne raccourcit pas parce que vous avez acheté un meilleur produit. Les 148 systèmes touchés chez TfL constituaient le périmètre technique. Vingt-huit mille identités constituaient le périmètre opérationnel, et c'est le second chiffre qui a fixé la facture.
La traîne visible par les clients a duré bien plus longtemps que l'intrusion. L'attaque elle-même s'est étalée sur trois jours à la fin du mois d'août. La délivrance des cartes de transport avec photo n'est revenue que le 4 décembre 2024, plus de trois mois plus tard, en parallèle de perturbations touchant les connexions aux comptes, les portails clients, les applications tierces connectées et les distributeurs de titres. Sept millions d'utilisateurs ont vu des informations exposées. Une intrusion qui se mesure en jours a produit une interruption de service qui se mesure en mois, et tout conseil d'administration qui raisonne sur l'indisponibilité à partir de la durée de l'attaque lit la mauvaise extrémité de la chronologie.
Seulement la deuxième condamnation de ce type
Le détail juridique compte davantage qu'il n'y paraît. Flowers et Jubair ont été condamnés au titre de la Section 3ZA du Computer Misuse Act de 1990, la disposition réservée aux actes non autorisés causant, ou faisant courir le risque de causer, un dommage grave de nature matérielle. Il ne s'agit que de la deuxième condamnation jamais obtenue au titre de cette section. Pendant 35 ans, cette loi a surtout donné lieu à des poursuites pour accès non autorisé et altération ; le volet dommage grave était resté proche de la théorie. Il est désormais utilisable de façon démontrée, et il a été appliqué à une attaque visant les transports plutôt qu'un hôpital ou une centrale électrique.
Lisez cela comme un signal sur l'endroit où les procureurs britanniques estiment que passe la ligne. La Section 3ZA existe pour les conséquences sur le monde physique et sur la vie de la nation, et un réseau de transport public a rempli le critère. Tout opérateur dont la défaillance interromprait le fonctionnement ordinaire d'une ville devrait supposer que le même raisonnement s'appliquera à une attaque le visant, ce qui joue dans un sens utile : l'État traite désormais une intrusion dans ce type d'infrastructure comme une infraction de dommage grave, et il est prêt à passer des années à bâtir le dossier qui le prouve.
Cela pose aussi un repère en matière de dissuasion que les dirigeants devraient lire honnêtement. Cinq ans et demi pour 29 millions de livres de dégâts et sept millions de dossiers exposés, c'est une peine réelle, qui arrive près de deux ans après l'attaque, contre deux personnes issues d'un réseau qui a continué d'opérer pendant tout ce temps. La poursuite pénale est une conséquence, pas un contrôle. Elle sanctionne les auteurs longtemps après que votre rétablissement est achevé et votre argent dépensé, et rien dans ce jugement n'aurait raccourci la file d'attente de TfL d'une seule heure.
Quatre questions à poser à votre propre service desk cette semaine
Votre service desk peut-il réinitialiser l'authentification multifacteur sur la seule foi d'un appel téléphonique ? Si oui, vous avez la vulnérabilité de TfL, quel que soit le prix de votre pile de sécurité. Le correctif est procédural plutôt que technique : exigez une voie de vérification que l'appelant ne peut pas fournir à partir de fragments volés, comme une confirmation par un responsable sur un canal connu et fiable, un contrôle vidéo recoupé avec le dossier du personnel, ou une présence physique pour les comptes privilégiés. C'est plus lent et les équipes se plaindront. Cette plainte, c'est le contrôle qui fonctionne.
Combien de temps vous faut-il pour réidentifier tout le monde ? Faites la division. Si la réponse dépasse quinze jours, décidez dès maintenant quels rôles seront rétablis en premier, parce que le jour venu vous ferez ce tri à la hâte avec un dirigeant qui vous regarde par-dessus l'épaule. Écrivez l'ordre de priorité pendant que la période est calme et ennuyeuse, et conservez-le quelque part qui survivra à la perte des systèmes qu'il décrit.
Qu'est-ce qui casse pour vos clients, et pour combien de temps une fois vos systèmes assainis ? Le rétablissement interne de TfL et son rétablissement public ont été deux événements distincts, séparés de trois mois. Identifiez les processus qui touchent les clients et dépendent de données que vous devriez reconstruire ou revérifier, et chiffrez-les séparément de votre restauration technique. C'est là que loge le dommage réputationnel, et c'est là que le chiffre cesse de ressembler à un coût informatique pour commencer à ressembler à du chiffre d'affaires.
À lire ensuite: Un seul commit n'est pas une piste d'audit | Onze chargeurs signés contournent Secure Boot



