Le groupe Everest affirme avoir pénétré Chrysler et exfiltré 1 088 Go de données. Sous 6 à 7 jours, il menace de publier. À ce stade, seule la revendication est publique.
Le groupe de ransomware Everest affirme avoir compromis le système informatique de Chrysler et Nissa et dérobé 1 988 Go de données internes. Sur son site, il annonce une publication si ses exigences ne sont pas satisfaites. Selon les éléments affichés, le lot contiendrait des informations personnelles et de contact, des données liées à Salesforce pour plus de 105 Go, des journaux de travail d’agents retraçant des interactions clients et des statuts d’appels, ainsi que des mises à jour sur l’état de véhicules de 2021 à 2025, et des communications internes opérationnelles. Les attaquants ont publié des exemples, dont des journaux issus de concessions, pour étayer leurs dires.
Une revendication massive et un calendrier de pression
Le scénario suit la mécanique classique de l’extorsion, mais l’ampleur annoncée frappe d’emblée. Everest, groupe de ransomware, dit avoir piraté le système informatique de Chrysler et Nissan, constructeurs automobiles, et mis la main sur 1 988 Go de données. Le groupe affirme qu’il rendra le contenu public si ses demandes ne sont pas satisfaites. Dans ce type d’affaires, la fenêtre courte sert un objectif simple, empêcher l’organisation visée de reprendre la main sur la communication, et pousser à une décision sous stress.
À ce stade, le cœur du dossier repose sur la parole des attaquants et sur ce qu’ils montrent. Selon le texte fourni, Everest a mis en ligne des extraits censés prouver l’accès et la réalité des données. L’argumentaire vise autant les dirigeants que le grand public : l’idée qu’un lot de cette taille ne peut pas être inventé, et que les exemples visibles démontrent l’authenticité. C’est une tactique connue des groupes d’extorsion, créer un effet de preuve sans révéler tout le butin, afin d’alimenter la peur d’une divulgation totale. Pour Nissan, par exemple, les criminels parlent de 60 000 fichiers textes, 17 000 CSV (base de données) et deux fois plus de fichiers Excel. Il n’est pas trés clair sur la véritable cible NISSAN affichée. Selon certains documents, le Canada/USA semble être la localisation possible. Parmi les documents, un dossier relatant ce qui semble être les validations de clés sans contact.
Le renseignement cyber s’intéresse ici à deux signaux. Pour Chrisler, dont les données ont été diffusées voilà une semaine, la précision du volume, 1 088 Go, et la description de sous-ensembles, comme un dossier Salesforce annoncé à plus de 105 Go. Ensuite, la nature des « preuves » évoquées, des journaux détaillés provenant de concessions Chrysler, avec des échanges d’agents, des dossiers de relation client et des informations liées aux ventes de véhicules. Les opérateurs cherchent à démontrer une profondeur d’accès, pas seulement un échantillon superficiel. Ce qui pourrait étonner est que Chrisler n’a pas fait fermer le « cloud » servant de stockage des données volées par les pirates. Un espace de stockage sur le web. ZATAZ a pu remarquer qu’il s’agissait de la société Fex, basée à Chypre, exploitant cloudflare et diffusant des pubs russes ! Les pirates avaient téléchargé les données avant de diffuser l’annonce publique de la menace.
La menance à l’encontre de Nissan.
Nous retrouvons vos données volées/perdues avant qu’elles ne se retournent contre vous.
Fuites de données, Veille web & dark web, alertes et priorisation des risques. |
Dédiée aux entreprises, institutions et particuliers. A PARTIR DE 0,06€ PAR JOUR |
Ce que les données décrites racontent sur l’attaque
Everest affirme que les données compromises incluent des informations personnelles et de contact, noms, numéros de téléphone, adresses, dates de naissance et emails. Si cette description est exacte, l’effet immédiat serait une augmentation du risque de phishing ciblé, d’usurpation d’identité et de fraude, car ces attributs servent de carburant à l’ingénierie sociale. Dans l’automobile, l’attaquant peut aussi construire des scénarios crédibles, liés à une révision, un rappel constructeur, une garantie ou un dossier de financement, pour pousser la victime à cliquer ou à payer.
Le groupe évoque également des journaux de travail d’agents, avec des enregistrements d’interactions clients, des statuts d’appels et des mises à jour sur l’état des véhicules, sur une période allant de 2021 à aujourd’hui, indiqué ici comme 2025. Ce type de données est sensible à deux titres. D’abord, il permet de reconstruire la relation entre un client et une concession, parfois minute par minute, ce qui rend les tentatives d’arnaque beaucoup plus convaincantes. Ensuite, ces journaux peuvent contenir des informations de process, des outils utilisés, des habitudes de communication, donc des pistes pour de futures intrusions.
Enfin, Everest mentionne des données de communication interne et des éléments opérationnels. Même sans détails, cela suggère un risque de cartographie interne, avec la possibilité d’identifier des équipes, des flux de décision, des points de friction et des relais hiérarchiques. Pour un groupe d’extorsion, cette connaissance sert à calibrer la pression, choisir les interlocuteurs, et parfois relancer l’attaque via des partenaires ou des accès persistants.
Everest a déjà attaqué AGFA, Clarins, ASUS, la police brésilienne ou encore Charlie Hebdo. Dans l’économie du ransomware, la confiance criminelle est un actif : si les victimes pensent que le groupe publie réellement, elles peuvent céder plus vite. C’est aussi pour cela que les opérateurs mettent des délais et exposent des extraits. Bref, prudence s’impose, mais le signal d’alerte est clair : quand un groupe revendique un tel volume et expose des preuves de journaux, le risque majeur devient la réutilisation criminelle des données, bien au-delà de l’interruption d’activité.
|
Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes. |
|
Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber. |
