Le Bon Coin : l'attaque Conti qui a paralysé la plateforme pendant un mois

Un samedi d'août, un Slack qui s'affole

Zac est responsable sécurité informatique au Bon Coin. Il est en poste depuis trois mois. Il n'a pas fini sa période d'essai.

Ce samedi-là — il devait rejoindre des amis pour un café. Sa femme et lui avaient prévu une semaine en amoureux à la maison. À 7h du matin, il ouvre Slack — le WhatsApp d'entreprise aux notifications « passif-agressives ».

Un collègue de l'équipe sécurité signale un comportement bizarre.

Une alerte antivirus a détecté un fichier de rançon. Le fameux fichier .txt où l'attaquant dit « Coucou, vous êtes faits ». Sauf que là, ce n'est pas un simple message. Des millions de fichiers sur les serveurs internes ont changé de nom. L'extension .pdf, .doc ou .xls est remplacée par .cti.

« Mon cœur qui skipe un battement », raconte Zac.

.cti, c'est la signature du groupe Conti. Un nom qui glace le sang dans le monde de la cybersécurité. Le gouvernement américain offre 10 millions de dollars pour toute information critique sur ce groupe — oui, vous avez bien lu, 10 millions. Conti a mis le Costa Rica en état d'urgence. Il a volé 180 millions de dollars. Il est considéré comme le groupe de ransomware le plus dangereux du monde.

Et il vient de s'attaquer au Bon Coin — le site utilisé par un Français sur deux, avec 30 millions d'utilisateurs.

Zac doit prévenir son supérieur. Il appelle Julien.

La guerre en deux phrases

Boxe anglaise, jiu-jitsu, ceinture noire de karaté, MMA — et un CAP pâtisserie-boulangerie. Julien est un grand sportif. « C'est préparer la guerre pour vivre en paix », dit-il.

Il est aussi le chef de la chef de Zac. Et Zac est encore en période d'essai.

« J'aime pas les gros discours, je veux tout de suite le résultat », prévient Julien. « Qu'est-ce que tu as foutu en deux phrases ? C'est quoi le problème ? C'est quoi la solution ? »

Zac répond : « Je pense qu'on a un ransomware. On ne sait pas jusqu'où ça va. Il faut appeler une boîte de forensic. »

Forensic : des experts en criminologie numérique. La fine fleur française. « Même si tu les payes 2000 balles la journée, tu t'en fous du prix », explique Zac. « Le risque est tellement important. La boîte fait 600 millions de chiffre d'affaires. »

Julien ne tergiverse pas. Il raccroche et appelle Jean-Louis Bergamo, le gestionnaire des serveurs. Ordre : couper. Littéralement couper.

Isoler le site, sauver la plateforme

Le Bon Coin repose sur deux systèmes qui communiquent en permanence. D'un côté, le site public — leboncoin.fr — hébergé sur le cloud. De l'autre, le réseau interne utilisé par les 1500 employés : développeurs, commerciaux, juristes, RH.

Ils ont découvert l'attaque sur le réseau interne. Il faut absolument éviter qu'elle se propage sur le site public.

« Il fallait pas couper le Bon Coin », insistent les témoins. « Mais il fallait pas non plus faire n'importe quoi. »

La décision est radicale : le site reste en ligne, les utilisateurs peuvent naviguer et interagir. Mais aucun développeur, aucun administrateur ne peut plus se connecter à la plateforme. Elle est complètement isolée.

Le lendemain à midi, les experts forensic livrent leur première analyse. « Attendez, en fait, il y a eu compromission de ça, ça », annoncent-ils. « Ils sont rentrés, ils se sont installés depuis plusieurs semaines, ils sont propagés partout. »

Le constat est glaçant. « Progressivement, tu te rends compte que ça devient un vrai problème », raconte Zac. « Est-ce qu'ils sont toujours là ? Est-ce qu'ils vont pas nous faire un truc à retardement ? »

L'équipe devient paranoïaque. « On avait quelques dizaines d'employés qui avaient le droit de rentrer dans les locaux. On était devenu paranos. »

La War Room et les Chromebooks achetés à la Fnac

Une salle est réquisitionnée. Portes fermées. Personne ne peut entrer ou sortir sans autorisation. Quinze personnes seulement sont autorisées à y pénétrer. La War Room — comme dans les films, mais en vrai.

Roma, product director, fait partie de ce groupe restreint. « L'arrivée là, je la revois », dit-elle. « Mes collègues sur leur Mac, dans le noir. On était sur une Live Box parce qu'on avait coupé tous les accès. On m'a briefée : "Maintenant on va te trouver un Linux." J'avais jamais utilisé un Linux de ma vie. »

Elle doit coder. Dans le noir. Sur un système qu'elle ne connaît pas.

Pendant ce temps, les experts forensic développent un scanner capable de détecter tous les fichiers compromis par l'attaquant. L'équipe passe tout au scanner. Ils retirent les ordinateurs infectés du circuit. Il faut les remplacer.

1600 ordinateurs. Pour 1600 employés.

« On les a installés 10 par 10 », explique un témoin. « Quand on a 1500 à faire, c'est super long. On finit par en acheter à la Fnac. Fnac gare du Nord. "Je prends tous vos Chromebooks." Les gars te regardent en mode "Mais qu'est-ce que tu fais ?" »

Le budget n'est pas un problème. « C'est pas souvent qu'un DG dit ça », admet un cadre. « C'est beaucoup d'argent. Mais pour une boîte comme Le Bon Coin, c'était une somme normale à dépenser. »

La question qui tue : « Quand est-ce qu'on s'arrête ? »

Antoine, le CEO, convoque une réunion. Il pose une question simple : « Quand est-ce qu'on s'arrête ? »

Dans sa tête, il imagine 48 heures. Peut-être trois jours.

L'équipe lui répond : « On peut pas te donner de date exacte. Mais ça sera pas avant au moins quatre semaines. »

Silence gênant. Antoine fait le calcul mental. « Oh, alors ça va coûter combien ? »

La boîte est paralysée. Plus de bons de commande. Plus de factures. « De l'extérieur, ça ne s'est pas vu du tout », précise un témoin. « Mais pendant un mois, tu produis pas. »

Pourtant, le site est toujours en ligne. Alors pourquoi Le Bon Coin perd de l'argent ?

Les téléventes à l'arrêt : des centaines de milliers d'euros par jour

Charles Édouard est directeur des téléventes. Vous savez, ceux qui appellent les garages, les agences immobilières, les professionnels pour leur vendre des annonces sur Le Bon Coin.

Le jour de l'attaque, Charles Édouard est en vacances. Il pêche en paddle. « Je vide mes poissons, je prends mon téléphone avec mes doigts qui sentaient le maquereau. Trois coups en absence de ma manager. »

Il la rappelle. « On a eu un problème de sécurité. Il faut remonter la production le plus rapidement possible. »

Charles Édouard prend une décision radicale : rentrer à Paris en urgence. Il jette trois t-shirts, trois marinières dans un sac. Une brosse à dents. « Le minimum syndical. Avec la prétention de dormir dans le camion, sur le parking. »

Il met en place un système de contournement en 48 heures. « Je prends une machine virtuelle, je compile mon autocom, je branche ça à mes trunk sites. »