Données du gouvernement suisse exposées dans l’attaque ransomware contre Radix
Une attaque majeure de ransomware visant un prestataire tiers suisse a conduit à l’exposition de données sensibles de la Confédération. L’organisation à but non lucratif Radix, basée à Zurich et active dans la promotion de la santé, a été compromise par des affiliés du groupe Sarcoma. L’incident soulève de graves inquiétudes quant aux risques cyber liés aux sous-traitants et à la protection des données publiques.
Que s’est-il passé chez Radix et avec les données du gouvernement
Le gouvernement suisse a confirmé que Radix, qui collabore avec plusieurs offices fédéraux, a été victime d’une attaque par ransomware ayant conduit à un vol de données et à leur chiffrement. Les attaquants ont exfiltré les fichiers avant de les publier sur le dark web suite à l’échec des négociations.
Radix a déclaré que la compromission a eu lieu le 16 juin. Deux semaines plus tard, le 29 juin, le groupe Sarcoma a diffusé les données volées sur son portail. Le volume est massif : 1,3 To, incluant des scans de documents, des relevés financiers, des contrats et des communications internes. Le tout a été mis en libre accès.
Qui est Sarcoma et comment l’attaque s’est déroulée
Sarcoma est un groupe ransomware en pleine ascension, apparu en octobre 2024. Il s’est rapidement fait connaître avec 36 victimes revendiquées dès le premier mois. Ses vecteurs d’entrée sont classiques : phishing, failles logicielles non corrigées, chaînes d’approvisionnement compromises. Une fois dans le système, il exploite l’accès RDP pour se déplacer latéralement, exfiltrer les données, puis chiffrer les systèmes.
Ce mode opératoire semble avoir été utilisé contre Radix. Malgré une communication rapide auprès des victimes, la publication d’une archive de 1,3 To représente une menace persistante. L’ampleur des données gouvernementales incluses reste inconnue à ce stade, mais les autorités enquêtent avec le Centre national pour la cybersécurité (NCSC).
Une vulnérabilité récurrente pour la Suisse ?
Malheureusement oui. Ce n’est pas le premier cas d’exposition massive de données via un prestataire externe. En mars 2024, le gouvernement avait reconnu que le ransomware Play avait compromis Xplain, un autre prestataire, en mai 2023. Cette attaque avait entraîné la fuite de 65 000 documents de l’administration fédérale, dont de nombreuses données personnelles.
Ces incidents révèlent une faille systémique : la dépendance à des sous-traitants peu robustes sur le plan cybersécurité. Bien qu’extérieurs à l’État, ces partenaires traitent d’importants volumes de données sensibles.
Réduire l’exposition aux attaques sur la chaîne d’approvisionnement
Cet incident souligne l’urgence pour les institutions publiques et les entreprises privées de renforcer leur gestion des risques tiers. Les attaquants ciblent de plus en plus les fournisseurs pour remonter vers des systèmes critiques.
Pour réduire les risques :
-
Évaluer continuellement la sécurité des fournisseurs
-
Exiger une authentification multifactorielle et des mots de passe robustes
-
Surveiller les mouvements latéraux et les exfiltrations de données
-
Chiffrer les données sensibles, au repos comme en transit
Radix conseille aux personnes concernées de rester vigilantes face aux tentatives d’usurpation d’identité, de phishing et de vol de mots de passe dans les mois à venir. Une fois sur le dark web, les données peuvent circuler pendant des années.
La cybersécurité n’est plus optionnelle pour les tiers
Plus les services publics s’externalisent, plus la sécurité de leurs prestataires devient cruciale. Il ne s’agit pas seulement d’une exigence contractuelle, mais d’un enjeu de sécurité nationale. Ce cas doit alerter toutes les organisations traitant des données sensibles via des prestataires.
Si votre entreprise gère des données publiques ou des informations personnelles sensibles, il est temps d’évaluer votre résilience. ZENDATA propose des services avancés : évaluation des risques tiers, audits de préparation au ransomware, plans de réponse aux incidents.
Soyez proactif. Protégez vos données avant qu’elles ne finissent sur le dark web.
Lire l’article complet sur Bleepingcomputer.
