Travelex le soir du Nouvel An
Le 31 décembre 2019, la chaîne de change Travelex a coupé ses sites pour « maintenance planifiée ». La maintenance a duré des semaines ; la rançon a été payée en bitcoins.
Le 31 décembre 2019, la société de change Travelex publie un avis expliquant que ses sites web sont temporairement indisponibles pour maintenance planifiée. L’avis tient pendant des jours, puis des semaines. Les bureaux Travelex dans les aéroports et centres commerciaux du monde entier cessent de traiter les changes en ligne et basculent en transactions papier manuscrites, pendant que le personnel attend les feuilles de taux envoyées de Londres par email.
Un correctif qui n’a pas été appliqué à temps
L’intrusion exploite une vulnérabilité Pulse Secure VPN pour laquelle un correctif était disponible depuis avril précédent. Les attaquants — opérateurs du ransomware Sodinokibi, également connu sous le nom de REvil — sont à l’intérieur du réseau de Travelex depuis des mois avant de le chiffrer. Ils auraient exfiltré cinq gigaoctets de données et exigé six millions de dollars de rançon.
Travelex finit par payer environ 2,3 millions de dollars en bitcoins pour récupérer ses systèmes et empêcher la publication des données dérobées. Le groupe parent, Finablr, est déjà financièrement fragile. Quelques mois après la fuite, Finablr s’effondre dans des scandales comptables sans rapport avec l’incident ransomware, et Travelex elle-même entre en redressement.
Ce que la chronique retient
Travelex a été une démonstration précoce et très visible que le ransomware contre un rail de paiements ou de change ne reste pas longtemps un problème IT. La visibilité de la marque — les comptoirs Travelex se trouvaient dans presque tous les grands aéroports occidentaux — a rendu la récupération douloureusement publique. Le redressement final de l’entreprise, venant s’ajouter à des tensions sans rapport, a illustré le cliché : le ransomware tue rarement une entreprise en bonne santé, mais il peut être la dernière poussée pour une qui ne l’est pas.