Violations au Bologna Calcio et au stade San Siro. Des pirates du groupe RansomHub publient certains des documents volés sur le Dark Web et demandent au club de Serie A de payer une rançon.
L’une des plus grandes violations de données de l’histoire du sport italien », selon les experts en cybersécurité de Ransomfeed, comme le rapporte le Quotidiano Nazionale.
Nous parlons ici de l’attaqueattaque par ransomware
Nous parlons de l’attaque par ransomware du groupe RansomHub contre le Bologna Calcio vendredi dernier, à laquelle s’est ajoutée l’attaque du stade San Siro par le cyber-gang Bashe, qui a affirmé avoir piraté les serveurs de la société qui gère le stade, bien qu’il n’y ait pas encore eu de confirmation officielle de la part de la victime. Bashe, quant à lui, affirme sur son site web avoir exfiltré untéraoctet de données de la société qui gère le stade le plus célèbre d’Italie, ce qui correspond à plus de 250 000 photos en haute résolution ou à 85 millions de documents Word. Rien n’est encore connu quant à la demande de rançon.
En ce qui concerne l’équipe de football de Bologne, la plainte a été déposée par le groupe criminel RansomHub qui, sur son site web, a parlé du vol de plus de 200 gigaoctets d’informations sensibles.
Il s’agit notamment des contrats de sponsoring et des stratégies financières, des données personnelles des joueurs, des employés et des supporters, des contrats des joueurs et des données personnelles de l’entraîneur Vincenzo Italiano (passeport et IBAN), des données relatives aux abonnements, des stratégies de transfert et de gestion des talents, des données médicales confidentielles, des plans et stratégies d’entreprise, des informations sur les infrastructures et les stades, ainsi que des documents susceptibles d’enfreindre les règlements de la FIFA et de l’UEFA.
La nouvelle a été annoncée par l’entreprise elle-même dans un communiqué :
« L’entreprise Bologna Football Club 1909 Spa annonce que ses systèmes de sécurité ont récemment fait l’objet d’une cyberattaque de type ransomware, sur un serveur dans le cloud et sur le périmètre interne. Cette action criminelle a entraîné le vol de données de l’entreprise susceptibles d’être publiées. Toute personne en possession de ces données est donc invitée à ne pas les diffuser, les partager ou en faire tout autre usage au motif qu’elles sont le fruit d’un délit ».
RansomHub, en plus de menacer de publier les données volées d’ici dimanche et d’exiger une rançon si elle ne le fait pas, a également accusé Bologne d’avoir des mesures de sécurité si faibles qu’elles violent le GDPR, c’est-à-dire le Règlement général sur la protection des données de l’Union européenne, et a rappelé que les sanctions résultant de la violation susmentionnée pouvaient atteindre 20 millions d’euros ou 4 % du chiffre d’affaires global de l’entreprise.
Le groupe groupe RansomHubqui est opérationnel depuis février 2024, utilise le modèle commercial « Ransomware-as-a-Service » (RaaS) qui encourage les attaques de ransomware à l’échelle mondiale et les profits rapides. Pas moins de 22 extorsions sont actuellement actives sur sa plateforme, et la propension du groupe à publier les données des victimes qui ne paient pas est évidente.
Le club Bologna Calcio se trouve donc actuellement dans une impasse cérébrale : soit payer et céder au chantage des criminels, et donc subir le préjudice économique, soit ne pas le faire, en risquant un préjudice juridique (lié à d’éventuels procès), un préjudice de réputation, mais aussi un préjudice fiscal et sportif (risque de disqualification d’événements ou de championnats).
À cela s’ajoute la violation du GDPR, comme le soulignent les criminels eux-mêmes. L’attaque est qualifiée de« violation de données à caractère personnel » (data breach), c’est-à-dire« une violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, la modification, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données« .
L’Autorité pourrait donc décider d’entamer une procédure d’inspection visant à déterminer les responsabilités du club et la non-conformité aux règles du GDPR.
L’attaque contre Bologne, note le collectif d’experts Ransomfeed, était la 135e attaque de ransomware de l’année contre une entreprise italienne. Au total, plus de 25 téraoctets de données ont été publiés en 2024. Une quantité énorme qui devrait être sérieusement prise en compte. Nous sommes le quatrième pays au monde pour le nombre d’attaques de ransomware, le premier en Europe. Qu’est-ce qui n’a pas été fait ces dernières années ? De quoi s’occupe l’Agence nationale de cybersécurité ? Et aussi parce que la facture la plus lourde, presque toujours, est finalement payée par les citoyens ordinaires, dont les données personnelles sont revendues et souvent utilisées pour organiser des escroqueries ».
En ce qui concerne ce cas précis, l’origine de la faille n’est pas encore claire et l’on ne sait pas si elle résulte de défenses inadéquates ou d’une erreur d’un employé imputable, par conséquent, au facteur humain.
Mais selon Ransomfeed, « le vrai problème est qu’une organisation aussi importante que Bologne ne peut pas être prise au dépourvu de la sorte. Ils sont les premiers responsables de ce qui s’est passé : de toute évidence, l’investissement dans la sécurité numérique et la formation du personnel est insuffisant. Un club qui dépense des dizaines de millions pour le recrutement ne peut pas ne pas investir au moins deux dans la sécurité informatique. C’est inacceptable ».
Nous ne voulons certainement pas infliger des dommages aussi graves à ceux qui ont déjà souffert. Ce que l’on peut dire, en revanche, c’est qu’il n’y a plus de retard à prendre en matière de sécurité.
La cybercriminalité est de plus en plus répandue et les risques encourus sont trop élevés, tant en termes économiques qu’en termes de réputation. Les mesures technologiques, aussi nécessaires soient-elles, ne suffisent pas. Le facteur humain est le plus souvent responsable des violations. Ilsuffit d’une naïveté ou d’une distraction pour causer de graves dommages à son entreprise. C’est pourquoi il doit être renforcé et devenir la première ligne de défense. Un personnel conscient, qui suit une formation de qualité et qui est constamment entraîné à reconnaître les délits et à les arrêter à temps, est la meilleure garantie d’un avenir à l’abri des attaques et des troubles tels que ceux que connaît actuellement Bologna Calcio.
