MOVEit et Cl0p

MOVEit Transfer est le genre de logiciel que la plupart des consommateurs ne verront jamais et dont la plupart des entreprises dépendent sans y penser. C’est un produit de transfert de fichiers managé utilisé par des banques, des prestataires de paie, des gestionnaires de prestations sociales et des administrations pour déplacer chaque nuit des fichiers plats sensibles entre organisations.

Un week-end avec un zero-day

Fin mai 2023, le groupe russophone de ransomware Cl0p — à ce stade déjà plusieurs années dans une carrière d’extorsion — utilise une faille d’injection SQL jusque-là inconnue dans l’interface web de MOVEit pour déployer un web shell. Depuis le shell, ils aspirent les bases de données des transferts stockés et, dans bien des cas, les fichiers eux-mêmes.

Ce qui rend la campagne inhabituellement destructrice, c’est la topologie. De nombreux déploiements MOVEit étaient opérés par des prestataires tiers — Zellis au Royaume-Uni, PBI Research Services aux États-Unis — dont les clients constituaient des écosystèmes entiers d’autres organisations. Une seule instance MOVEit compromise chez un prestataire de paie pouvait exposer tous les clients de ce prestataire, y compris leurs employés, retraités et ayants droit.

Une longue mise au pilori

Cl0p a choisi de ne rien chiffrer. À la place, le groupe a mené une campagne d’extorsion sur plusieurs mois, publiant régulièrement de nouveaux noms de victimes sur son site de fuite : la BBC, British Airways, le département américain de l’Énergie, l’Office des cartes grises de Louisiane, des centaines d’universités. Le décompte total des organisations touchées a dépassé les deux mille et a continué de grimper jusqu’en 2024.

Ce que la chronique retient

MOVEit a mis en scène une classe de fournisseurs que les défenseurs avaient sous-instrumentée : les ennuyeux tuyaux B2B de transfert de fichiers. Après Cl0p, toute la catégorie a été réinventoriée, et l’hypothèse implicite « nous n’avons pas de données là-dedans » s’est révélée, très souvent, fausse.