Dans un message adressé à ses clients, que nous avons pu consulter, le transporteur GCA (Groupe Charles André) dit avoir été victime d’une cyberattaque dans la nuit du 17 au 18 février.
« Par mesure de précaution nous avons décidé de couper les accès Internet extérieurs à nos systèmes le temps de faire un diagnostic complet de la situation et de pouvoir redémarrer de manière sécurisée, dans les meilleurs délais », peut-on y lire.
Selon le texte, « une cellule de crise a été activée avec les responsables concernés. Les autorités compétentes ont été informées et les procédures de déclaration et de plainte sont en cours ».
Pour l’heure, « les adresses mail habituelles, les téléphones fixes, les connexions EDI, API, ne [sont] pas fonctionnelles ». De fait, la ligne de l’accueil, notamment, sonne dans le vide.
GCA dit n’avoir, « à ce stade », « pas de raison de penser qu’il y aurait eu fuite de données ». Le groupe ne précise pas s’il a constaté (ou pas) un chiffrement de systèmes et assure mener « des investigations avec l’aide de spécialistes externes, en relation avec l’Anssi, notre priorité étant d’assurer un niveau de sécurité informatique adapté ».
La rédaction a sollicité la direction de la communication de GCA sur un téléphone mobile en demandant, notamment, si un ransomware est impliqué (et si oui, lequel). La situation nous a été confirmée, mais pour l’heure, nos questions additionnelles n’ont pas reçu de réponse. Elles sont toutefois essentielles : elles permettent d’estimer s’il convient vraisemblablement, ou pas, de craindre un vol de données.
Les données d’Onyphe suggèrent que GCA exploitait encore, le 14 février, une instance Citrix Gateway affectée par la vulnérabilité CVE-2023-3519, sur laquelle l’équipementier alertait en juillet dernier. Mais le spécialiste de la gestion de la surface d’attaque exposée lui a également trouvé, quelques jours plus tôt, une instance MobileIron exposant une version concernée par deux autres vulnérabilités, connues pour être exploitées dans le cadre de cyberattaques : les CVE-2023-35081 et CVE-2023-35078. À l’heure où nous publions ces lignes, ces systèmes apparaissent déconnectés d’Internet.
Ce n’est pas la première fois que GCA est victime d’une cyberattaque. Le groupe en a déjà fait l’amère expérience quasiment 3 ans jour pour jour. À cette époque, le rançongiciel Doppelpaymer avait été impliqué. L’attaque avait été revendiquée début mars 2021.
Le secteur du transport et de la logistique est loin d’être épargné par les cyberattaques. Les sociétés de transport du groupe Guyamier en ont été victimes fin novembre dernier. Une situation dont au moins quatre autres spécialistes de la logistique, en France, avaient déjà souffert en 2023.