Hacking

De puissantes attaques informatiques mettent à genoux la société genevoise ProtonMail

La start-up a payé une rançon de près de 6000 francs sans parvenir à mettre un terme aux attaques des cyberescrocs dont elle subit les violents assauts depuis 3 jours. La sécurité des données clients n'est pas compromise. Plusieurs centaines d'entreprises, dont des banques, sont touchées

L’attaque informatique est d’une rare violence. Depuis le 3 novembre, la start-up genevoise ProtonMail et son service de messagerie électronique sécurisé sont les victimes impuissantes de deux groupes de pirates. Voilà bientôt trois jours que ProtonMail subit des attaques par déni de service (DDos) qui la mettent à genoux. Cet assaut classique mobilise, durant l’offensive, des ordinateurs du monde entier dans lesquels a été implanté un petit programme pirate baptisé «Cheval de Troie».

Du jamais vu

Dans le cas de ProtonMail, les attaques visaient à paralyser les adresses IP (l’adresse de l’ordinateur comme il existe des numéros de téléphone) de la start-up genevoise. Les cyberescrocs s’en sont ensuite pris au centre de données dans lequel sont hébergés les serveurs informatiques de ProtonMail. «Lors de l’attaque, plusieurs autres sociétés technologiques et même quelques banques ont été touchées, a souligné Jason Stockman, cofondateur de ProtonMail.» Que s’est-il passé?

Peu avant minuit, mardi 3 novembre, la société genevoise a reçu un courriel exigeant le paiement d’une rançon de la part d’un groupe de cyberescrocs déjà connu des autorités suisses pour des délits similaires. Approximativement 15 minutes plus tard, ProtonMail est mis à genoux par une salve d’attaques DDoS. Un deuxième assaut survient le lendemain vers 11 heures du matin, relate l’entreprise tout en gagnant en puissance et en sophistication.

Attaques en deux temps

Le 4 novembre, aux alentours de 14 heures, les cyberescrocs s’attaquent à l’infrastructure de ProtonMail en ciblant le centre de données dans lequel sont hébergés ses serveurs. Mais aussi plusieurs routeurs à Zurich, Francfort, et ailleurs où le fournisseur de service Internet de ProtonMail a des nœuds. «Cette attaque coordonnée sur notre infrastructure clé a non seulement endommagé notre fournisseur d’accès Internet, et notre centre de données, mais aussi des centaines d’autres sociétés», commente ProtonMail sur son blog.

En dépit de ses «efforts», la start-up genevoise n’est pas encore parvenue à rétablir son service de messagerie sécurisé. «Nous y travaillons sans relâche» réagit Andy Yen, l’autre cofondateur de ProtonMail dont le succès repose sur la qualité de son chiffrement. Le jeune patron de 27 ans confirme que «la sécurité des données clients n’a pas été compromise durant l’attaque. Elles sont en sécurité.»

Collaboration des autorités suisses

Compte-tenu de l’ampleur et de la violence des attaques, ProtonMail a requis l’aide des autorités suisses. L’entreprise genevoise souligne échanger des informations en continu avec la Centrale d’enregistrement et d’analyse pour la sûreté de l’information (Melani). Cette collaboration a permis d’en savoir plus sur cette cyberescroquerie qui s’est déroulée en deux étapes. D’abord, une attaque de grande ampleur pour mettre à mal les adresses IP. Puis, dans un second temps, des attaques techniquement sophistiquées et ciblant les nœuds de son fournisseur d’accès à Internet. ProtonMail collabore également avec le Service de coordination de la lutte contre la criminalité sur Internet (SCOCI) de la police fédérale, et l’unité GovCert de Melani.

100’000 dollars par an pour contre-attaquer

Sur Twitter, ProtonMail a lancé une campagne de financement participatif pour lui venir en aide. La société genevoise espère réunir suffisamment d’argent pour se doter de puissants outils de contre-attaque pour ses services et son centre de données. ProtonMail estime à 100’000 dollars le coût annuel pour ce type de solution.

Près de 6000 francs de rançon

Qui sont les escrocs? Selon les derniers éléments de l’enquête, deux groupes distincts de pirates informatiques seraient donc à l’origine des attaques. Parmi eux, les cyberescrocs réunis sous la bannière Armada Collective. Un groupe connu des autorités suisses dans l’extorsion de fonds. Les équipes de ProtonMail seraient parvenues à maîtriser les assauts du premier groupe, mais subissent toujours les attaques du second. La jeune société genevoise s’est vue contrainte de fermer ses services.

Les menaces d’Armada Collective publiées sur le site de Melani

ProtonMail a reçu plusieurs demandes de rançon en bitcoin. Soit 15 BTC (5636 francs). Le paiement de la somme sur cette adresse n’a pas permis de mettre un terme aux attaques. Au contraire! «Le deuxième groupe de pirates a démontré des capacités de nuire comparables à des acteurs étatiques», commente l’entreprise genevoise. «Ils n’ont pas peur de provoquer des dommages collatéraux pour nous avoir.» Et il y en a.

Victimes collatérales

Les attaques ont en effet touché plusieurs autres sociétés, des banques notamment, dont les serveurs sont hébergés dans le même centre de données que ProtonMail. Elles demandent à l’entreprise genevoise de payer la rançon pour mettre un terme aux attaques. Ce qui a été fait.

Mais la décision de ProtonMail d’accéder à la demande des pirates suscite plusieurs critiques d’experts en sécurité informatique. Une erreur selon eux qui ne fera qu’encourager les cyberescrocs à en demander plus.

Un succès insolent

Pour rappel, ProtonMail a été élue start-up la plus prometteuse de Suisse en 2015 par le prestigieux magazine britannique Business Insider. Elle a réussi là où beaucoup d’autres ont échoué en démocratisant les solutions de chiffrement de messagerie électronique. La sécurité du service de ProtonMail se base sur le standard cryptographique Open PGP qui sert au chiffrement et à l’authentification du courrier électronique. Tous ses programmes informatiques sont open source. «Un gage de transparence vis-à-vis de nos utilisateurs, mais aussi la possibilité de contribuer collectivement à l’amélioration de notre service», souligne Andy Yen.

Pur produit du CERN

C’est par hasard que ProtonMail a vu le jour en 2013 des cerveaux d’Andy Yen, Jason Stockman et Wei Sun. Les trois scientifiques s’activent alors dans la recherche fondamentale au CERN. «Nous voulions élaborer un système interne de messagerie sécurisée plus simple que PGP, mais tout aussi sûr pour communiquer entre nous», se souvient Andy Yen. Après huit mois de conception, ils font tester la version bêta de leur service par 10’000 personnes. «La communauté l’adopte alors que notre travail n’avait pas pour vocation de devenir un produit».

Deux ans après sa fondation, des experts mondiaux de l’innovation web (Caltech, Harvard, EPFZ) dirigent la plateforme genevoise de messagerie sécurisée. Au mois de mars dernier, ProtonMail annonçait la levée de 2 millions de dollars pour répondre à la demande pour son outil de communication sécurisé. A ce montant s’ajoutent les 550’000 dollars déjà récoltés en 2014 par le biais de la plate-forme de financement participatif Indiegogo.

Nouvelle campagne de levée de fonds

Ces prochains mois, la start-up va entreprendre une nouvelle campagne de levée de fonds auprès d’investisseurs étrangers. Outre la Fongit, ProtonMail compte Charles River Ventures parmi ses partenaires commerciaux. L’une des plus anciennes sociétés de capital-risque aux Etats-Unis est leader mondial du placement dans les entreprises de technologies à un stade précoce. Elle fut d’ailleurs l’une des premières à investir dans Twitter pour ne citer qu’elle. Reste à espérer que les violentes attaques informatiques qu’elle subit depuis trois jours ne compromettra pas sa recherche de financement.

Publicité