Play Ransomware publie des données volées au département des Alpes-Maritimes

Au terme d’un premier ultimatum, le groupe de cybercriminel Play Ransomware a publié, le 2 décembre 2022, sur un serveur public et gratuit, une partie des données (13 Go sur 292 Go) qu’il avait dérobées au département des Alpes-Maritimes, dans la nuit du 9 au 10 décembre 2022.

Les données comprennent des photocopies de passeport, des bordereaux, des cartes grises, des fichiers concernant les collèges des Alpes-Maritimes, ou des notes destinées au président du département Charles Ange Ginésy. Play Ransomware a menacé de publier le reste des données si le département continuait de refuser de payer la rançon, dont le montant n’a pas été révélé.

Durant la réunion du conseil départemental du 25 novembre 2022, le département avait indiqué que les pirates avaient « pénétré les systèmes par un accès privé en usurpant l’identité d’un agent ». Charles Ange Ginésy y avait précisé que les données volées n’étaient que des « fichiers bureautiques non stratégiques », représentant « 0,1 % du volume global des données de la collectivité ».

Le président du département avait jugé les conséquences de la cyberattaque « limitées », compte tenu du fait que « les hackers (sic) avaient tenté d’atteindre les éléments vitaux du réseau, tels l’annuaire d’entreprise ou les sauvegardes, afin de les compromettre pour provoquer le maximum de dégâts ».

Cette déclaration n’a pas convaincu le groupe d’élus « Notre département d’abord » (proche du maire de Nice Christian Estrosi). Ils ont dénoncé, le 5 décembre, une « minimisation de la gravité des faits » de la cyberattaque. Ils ont aussi réclamé une mission d’information et d’évaluation pour le renforcement de la cybersécurité.

Apparu en juin 2022, Play Ransomware est, selon Wavestone, un groupe opportuniste, motivé par l’appât du gain et qui choisit ses cibles sans visée politique, en fonction de la perméabilité des SI.