Retour au blog
Cybersécurité

Attaque sur l'Office Français de la Biodiversité (OFB) : Rhysida à l'œuvre

8 min de lecture
RhysidaRansomwareOFBSécuritéIncident

Une institution publique paralysée par un ransomware moderne

En avril 2025, l’Office Français de la Biodiversité (OFB) a subi une attaque informatique majeure : ses systèmes ont été compromis par le ransomware Rhysida dans une opération qui a eu des répercussions sur les activités de terrain des agents chargés de la gestion environnementale. Cette attaque, loin d’être un simple épisode isolé, s’inscrit dans une série d’incidents où des entités publiques deviennent la cible de cybercriminels organisés.

Qui est Rhysida ?

Rhysida est un groupe de ransomware-as-a-service (RaaS) qui a émergé en 2023 et qui opère en partenariat avec des affiliés pour déployer son logiciel malveillant. Il est connu pour utiliser des tactiques de double extorsion : non seulement il chiffre les données, mais il menace aussi de les publier si la rançon n’est pas payée, augmentant ainsi la pression sur les victimes. :contentReference[oaicite:0]{index=0}

Quels mécanismes de chiffrement ?

Techniquement, Rhysida chiffre les fichiers avec l’algorithme ChaCha20 pour la vitesse, accompagné d’une paire de clés RSA-4096 pour protéger les clés symétriques utilisées dans le chiffrement. Après avoir identifié les cibles sur le réseau, le ransomware chiffre les fichiers et change l’extension en .rhysida, rendant les données inaccessibles sans la clé privée détenue par les opérateurs. :contentReference[oaicite:1]{index=1}

Le fait d’utiliser ChaCha20 couplé à une clé RSA-4096 explique à la fois la vitesse du chiffrement sur de grandes quantités de données et la difficulté de casser la sécurité sans la clé privée. Les opérateurs utilisent aussi des scripts et commandes PowerShell pour supprimer leurs empreintes après exécution. :contentReference[oaicite:2]{index=2}

Vecteur d’infection et progression dans le réseau

La majorité des attaques Rhysida sont initiées par des campagnes d’hameçonnage (phishing) ou par des outils d’accès initial tels que Cobalt Strike ; une fois l’accès au réseau obtenu, les attaquants explorent latéralement les serveurs pour maximiser leur portée avant de lancer le chiffrement en masse. :contentReference[oaicite:3]{index=3}

Impact opérationnel à l’OFB

Pour l’OFB, l’impact a été immédiat : interruption des outils numériques, système de gestion des dossiers inaccessible, et une dépendance accrue aux processus papier pour assurer les activités de contrôle en zone. Cela a conduit à des retards significatifs dans les missions environnementales quotidiennes.

Conséquences organisationnelles

• Temps et coûts de restauration élevés pour reconstruire les systèmes ;
• Perte de confiance des partenaires et du public ;
• Nécessité d’investissements supplémentaires dans la sécurité informatique publique.

Léctions apprises

L’attaque de l’OFB illustre plusieurs enseignements majeurs :

  • Segmenter les réseaux pour limiter l’impact d’une compromission ;
  • Activer l’authentification multifactorielle (MFA) sur l’ensemble des services critiques ;
  • Former le personnel aux risques de phishing, principal vecteur des RaaS modernes ;
  • Mise en place de systèmes de sauvegarde hors ligne régulièrement testés.

Enfin, l’OFB a renforcé ses politiques de gestion des accès (IAM) et mis en place des mécanismes de surveillance comportementale pour détecter des mouvements latéraux suspects au sein de son réseau, réduisant ainsi les risques d’attaques similaires à l’avenir.

Retour au blog