Le groupe de rançongiciels Rhysida revendique une cyberattaque contre Gob.pe, le portail numérique officiel du gouvernement péruvien, menaçant de divulguer des documents sensibles si une rançon en bitcoins n’est pas payée sous sept jours.
Un nouvel épisode préoccupant de la cybercriminalité internationale vient frapper l’Amérique latine. Le gouvernement du Pérou est devenu la dernière victime en date du groupe de ransomware Rhysida, un collectif criminel qui multiplie les attaques contre les institutions publiques et privées à travers le monde. En ciblant Gob.pe, la plateforme numérique centrale de l’administration péruvienne, les pirates s’en prennent directement à l’épine dorsale numérique de l’État. Des images de documents sensibles prétendument dérobés ont été diffusées en ligne, et une rançon de cinq bitcoins, soit environ 275 000 euros, a été exigée. Ce piratage soulève de sérieuses inquiétudes sur la cybersécurité des infrastructures gouvernementales en Amérique latine.
Le gang Rhysida, apparu sur la scène du cybercrime en mai 2023, a rapidement gagné une réputation inquiétante dans les milieux de la cybersécurité. Son mode opératoire est désormais bien connu des agences internationales : identifier des failles dans les réseaux, exfiltrer des données critiques, puis menacer de les divulguer si une rançon n’est pas versée. C’est exactement ce schéma qui semble avoir été appliqué au gouvernement péruvien. Gob.pe, portail unifié permettant aux citoyens péruviens d’accéder à une multitude de services administratifs, est au cœur de la transformation numérique de l’État. En le ciblant, Rhysida ne touche pas seulement un site web, mais met en péril la confiance du public dans l’administration numérique.
Les images publiées sur le site de fuite du groupe montrent des captures de documents officiels et d’identifiants, bien que leur authenticité n’ait pas encore été vérifiée de manière indépendante. En exigeant une rançon de cinq bitcoins — équivalant à environ 275 000 euros selon le cours actuel — et en accordant un délai de seulement sept jours pour le paiement, le gang accentue la pression sur les autorités péruviennes. Aucune déclaration officielle n’a encore confirmé si le gouvernement entend négocier ou non avec les pirates, une question délicate à la fois sur le plan éthique et stratégique.
En ciblant Gob.pe, Rhysida s’attaque à la vitrine numérique de l’État péruvien, remettant en question la résilience de ses infrastructures critiques.
Ce n’est pas la première fois que Rhysida fait parler de lui. Selon les données disponibles sur son site de fuite hébergé sur le dark web, au moins 182 entités à travers le monde ont été compromises depuis l’apparition du groupe. Les secteurs visés sont variés : éducation, santé, industrie manufacturière, services informatiques, et même des entités gouvernementales. Rhysida ne semble suivre aucune logique géographique ou idéologique stricte : ses cibles sont définies comme des « opportunités », selon la disponibilité de failles exploitables plutôt que selon une stratégie cohérente.
Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !
L’attaque contre le Pérou s’inscrit dans un contexte de multiplication des cybermenaces contre les États, alors que les administrations du monde entier accélèrent leur numérisation. Dans une alerte conjointe publiée en décembre 2023, le FBI et la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis avaient déjà sonné l’alarme. Leurs analystes y détaillaient les tactiques, techniques et procédures (TTP) associées à Rhysida, ainsi que les indicateurs de compromission (IOC) détectés lors des enquêtes menées jusqu’en septembre 2023. Cette alerte faisait partie de l’initiative #StopRansomware, une campagne globale destinée à sensibiliser et à outiller les organisations face aux menaces croissantes des rançongiciels.
Selon ce rapport, Rhysida exploite principalement des vulnérabilités connues mais non corrigées dans les systèmes d’exploitation, les services à distance ou les applications web. Une fois l’accès initial obtenu, les pirates utilisent des outils légitimes mais détournés pour escalader leurs privilèges et se déplacer latéralement dans les réseaux. Cette approche rend la détection particulièrement difficile, car les activités malveillantes se fondent dans le bruit normal du trafic réseau.
Depuis mai 2023, Rhysida aurait touché plus de 180 organisations dans le monde, selon les données disponibles sur son site de fuite caché avec Tor.
L’attaque contre le Pérou relance également le débat sur la politique à adopter face aux demandes de rançon. Payer pourrait permettre de récupérer les données et d’éviter leur diffusion, mais cela alimente aussi le modèle économique des cybercriminels. À l’inverse, refuser de payer peut entraîner des fuites massives de données sensibles, voire des interruptions prolongées des services publics. De nombreux experts en cybersécurité recommandent de ne pas céder, mais reconnaissent que la décision finale revient souvent à une évaluation des risques spécifiques à chaque cas.
Les gouvernements latino-américains, bien que de plus en plus conscients des enjeux de cybersécurité, restent des cibles vulnérables. Le niveau de maturité numérique varie fortement d’un pays à l’autre, et les investissements dans la cybersécurité ne suivent pas toujours le rythme de la transformation digitale. Des initiatives régionales ont vu le jour, mais les moyens techniques et humains restent limités face à la sophistication croissante des cybermenaces. Le cas du Pérou pourrait servir de signal d’alarme pour accélérer la coopération régionale et renforcer les capacités de défense numérique.
Du côté de la société civile, l’incident soulève également des questions sur la protection des données personnelles. Gob.pe héberge de nombreuses informations sensibles sur les citoyens : état civil, documents administratifs, dossiers fiscaux. Si les pirates ont pu accéder à ces bases de données, les conséquences pourraient être durables et graves pour la vie privée de milliers de Péruviens. Le gouvernement devra répondre avec transparence sur l’ampleur réelle de la compromission.
À l’échelle internationale, cette attaque vient rappeler l’urgente nécessité d’une coopération renforcée contre le cybercrime. Bien que Rhysida soit un groupe relativement récent, ses méthodes démontrent une connaissance approfondie des faiblesses structurelles des systèmes numériques. La facilité avec laquelle des pirates parviennent à perturber les fonctions vitales d’un État devrait interpeller les dirigeants, bien au-delà des frontières du Pérou.
Alors que l’enquête suit son cours et que les autorités péruviennes gardent le silence sur leurs intentions, une chose est sûre : la menace cybernétique est désormais une réalité géopolitique. Les gouvernements doivent s’y préparer avec le même sérieux que pour n’importe quel autre risque national. Ce n’est plus une question d’anticipation, mais d’adaptation.
Alors que le Pérou évalue les conséquences de cette attaque numérique, une question s’impose : les États sont-ils réellement prêts à défendre leurs infrastructures critiques face à des cybercriminels toujours plus organisés et audacieux ?
Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à la newsletter de ZATAZ. Rejoignez également notre groupe WhatsApp et nos réseaux sociaux pour accéder à des informations exclusives, des alertes en temps réel et des conseils pratiques pour protéger vos données.
