Victime de l’attaque de l'un de ses sous-traitants, Bombardier a subi un vol de documents sensibles sur ses activités avec le groupe suédois SAAB, fabricant du système de surveillance GlobalEye.
Ransomware
Le 23 février 2021, le groupe Canadien Bombardier a révélé avoir été victime d’une cyberattaque massive. Dans le détail, la brèche de sécurité serait venue du serveur externe Acellion FTA, utilisé pour le stockage de fichiers. Victime d’un ransomware, l’entreprise Acellion aurait refusé de payer une rançon, suite à quoi, le groupe responsable de cette attaque a publié une première partie de documents détaillant le système GlobalEye de Saab sur le Darkweb. Les données partagées gratuitement portaient notamment sur la conception des différents systèmes de Bombardier ainsi que sur les données personnelles de plus de 300 de ses salariés. Un unique et discret communiqué de presse a confirmé ces allégations et aucune information sur le montant de la rançon n’a été dévoilée.
Le système Global Eye de SAAB
Le Global Eye est un radar aéroportée d’alerte précoce et de contrôle aéroportée (AEW§C) multi-domaines. Avec ses capteurs actifs et passifs modernes, il permet de détecter et d’identifier à longue portée les menaces aériennes, terrestres et maritimes. Basé sur la famille d’avions Global 6000/6500 de Bombardier, le Global Eye combine le radar Erieye Extended Range de SAAB/Ericsson avec une combinaison avancée de capteurs (ESM/ELINT, MSR/ISAR, SATCOM/DataLink, EO/IR, IFF-ADS-B) et un système de commandement et de contrôle multi-domaines (C2). Opérant à 35 000 pieds pour une endurance de 11 heures, ce système peut détecter des cibles jusqu’à 458 kilomètres.
TA505 et CLOP
Cette attaque informatique extrêmement précise et dévastatrice est attribuée au groupe TA505, spécialisé dans le ransomware (vols des documents, blocage des serveurs et demandes de rançons). Cette attaque fut réalisée grâce au rançongiciel CLOP détecté pour la première fois en 2019. Les attaques impliquant CLOP ne se limitent pas à une zone géographique ni à un secteur d’activité particulier. Les attaques ont majoritairement ciblé les États-Unis, mais également une douzaine d’autres pays. Selon l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information), TA505 est un groupe cybercriminel actif depuis 2014, ciblant principalement le secteur de la finance mais aussi de la distribution, des institutions gouvernementales et également depuis 2019 des entités des secteurs de la recherche, de l’énergie, de l’aviation et de la santé. La motivation principale de TA505 serait essentiellement lucrative. Mais une fois de plus un groupe international se trouve ciblé au travers d'un sous-traitant déficient en termes de sécurité informatique.