Fin septembre 2024, le service d’enregistrement de noms de domaine monégasque Namebay a été victime d’une cyberattaque. Le directeur général de Namebay, Gérard Gourjon, explique à Monaco Hebdo comment son entreprise a fait face à cette situation de crise. Interview.
Le 21 septembre 2024, vous avez été victime d’une cyberattaque avec « ransomware » : que s’est-il passé exactement ?
Nous avons été victime d’un “ransomware” [un « rançongiciel », c’est-à-dire un logiciel qui interdit l’accès à un ordinateur ou à des fichiers en les chiffrant, et qui demande ensuite à la victime le paiement d’une rançon pour en obtenir de nouveau l’accès — NDLR], comme beaucoup d’entreprises l’ont été ou le seront, malheureusement, car on va être amené à vivre avec ça.
C’est une situation stressante ?
C’est une forme d’angoisse, car certaines entreprises ont été victimes de “ransomware” et elles ne s’en sont pas remises. Elles ont dû déposer le bilan. Car, lorsque toutes les données d’une entreprises se retrouvent chiffrées, toute l’activité est paralysée. Cela peut arriver à des centres hospitaliers, à des entreprises commerciales, à des grands ou à des petits acteurs… Aujourd’hui, ce système de “ransomware” est industrialisé : sur le “dark web” [l’Internet clandestin ou le web caché — NDLR], on trouve des kits quasiment prêts à l’emploi. Quelqu’un de peu expérimenté est donc capable de lancer un “ransomware” de plus ou moins bonne qualité, en demandant de payer une rançon pour obtenir les clés de déchiffrement des données. En ce qui nous concerne, nous sommes sortis de cette période délicate en moins de deux mois, ce qui n’est pas simple.
« Namebay est assuré pour ce genre de risques. Les assurances ont donc couvert une très grande partie de nos dépenses. Cependant, l’impact existe pour Namebay, car des ressources humaines ont été mises à disposition »
On vous a demandé de payer combien ?
C’est une donnée que je ne peux pas vous communiquer, car nous ne l’avons pas demandée. Nous avons en effet décidé de ne pas payer la rançon. Nous avons préféré nous faire accompagner par des spécialistes en cybersécurité, pour nous permettre de récupérer l’intégrité et la totalité des données qui avaient été chiffrées. Pendant cette période, on a maintenu la disponibilité de nos services. Quant l’attaque a eu lieu, le samedi 21 septembre 2024, nos serveurs DNS fonctionnaient. Donc, les noms de domaine sont restés disponibles. Instantanément, nous avons mis en place des solutions de contournement, via notre service client. Ce qui a permis à tous nos clients de traiter manuellement leurs demandes. Nous étions donc capables de créer des noms de domaine, de renouveler des noms de domaine, de faire des modifications sur les zones de ces noms de domaine… Ensuite, nous avons dû recréer des solutions de messagerie. Certains clients utilisent la messagerie sur Namebay, ainsi que de l’hébergement. Ils ont donc pu utiliser une nouvelle solution de messagerie. Nous avons ensuite fusionné les deux systèmes pour qu’ils puissent récupérer les archives de ce qu’ils auront fait pendant ces deux mois perturbés. Enfin, la totalité des hébergements a été remontée. Donc, mi-novembre 2024, l’ensemble des services a été rétabli.
Pourquoi avoir décidé de ne pas payer cette rançon ?
Nous avons eu des échanges avec l’agence monégasque de sécurité numérique (AMSN), ainsi qu’avec la police monégasque qui s’occupe de ce sujet, mais aussi avec l’agence nationale de la sécurité des systèmes d’information (ANSSI) en France. D’une manière générale, il est conseillé de ne pas payer la rançon, car, même en payant, on n’obtient pas forcément les clés de déchiffrement en retour. Nous avons donc préféré trouver d’autres solutions. Payer la rançon représente un coût pour notre entreprise, mais la mise en place de solutions alternatives représente aussi un coût. La différence, c’est qu’en déployant nos solutions, on était sûr de sortir de l’ornière, même si un peu moins de deux mois pour en sortir, ça peut paraître long. Mais le temps passe très vite quand il faut reconstruire un système d’information complet.
Pendant cette cyberattaque, vous avez été bloqué, tout comme vos clients qui sont des entreprises et des institutions publiques à Monaco et en France ?
Rien n’a été volé et rien n’a été bloqué, non plus. Nous avons réussi à assurer la disponibilité des services immédiatement. Nos serveurs DNS ont continué de répondre. Donc, quand on tapait sur son clavier « www.sbm » ou « palaisprincier », ou différentes structures monégasques qui sont clientes chez Namebay, leurs sites Internet étaient accessibles, et ils pouvaient envoyer des e-mails. Il n’y a donc pas eu de rupture de services sur la partie « nom de domaine » et DNS. C’est resté fluide.
Il y a eu des ralentissements ?
Cela a été compliqué pour nos clients quand ils avaient de nouveaux enregistrements, car ils devaient nous transmettre leurs demandes manuellement. Nous avons donc renforcé notre service « opérations » et notre service « clients » avec des éléments externes à Namebay pour nous aider à traites toutes ces informations manuelles, qui sont d’habitude traitées par des robots. Du coup, on traite manuellement moins de données qu’un robot. Mais nous sommes parvenus à prendre en charge toutes les informations qui nous ont été demandées.
Les « .mc » du gouvernement ou de l’administration monégasque ont été touchés ?
Les « .mc » du gouvernement ou de l’administration monégasque n’ont pas été touchés. Ces noms de domaine n’ont pas rencontré de problèmes, que ce soit pour le gouvernement ou pour les entreprises monégasques.
« En 24 ans d’existence, Namebay n’a pas eu de problèmes de cette nature. Est-ce que ces attaques sont menées de façon aléatoire au niveau des systèmes de “ransomware” ? On ne sait pas »
Des données appartenant au gouvernement, à l’administration monégasque ou à des entreprises de la principauté ont été volées ?
Non, il n’y a pas eu de vols de données concernant le gouvernement, l’administration monégasque ou des entreprises de la principauté.
La situation a été rétablie en plusieurs étapes ?
Sur la partie « nom de domaine » et DNS, la disponibilité des services a été assurée dès le départ. Nous avons dû reconstruise notre réseau. En parallèle, il a fallu déchiffrer les données. Des laboratoires spécialisés sont intervenus. Une fois que les données ont été déchiffrées, nous avons vérifié leur intégrité, ce qui a nécessité l’intervention d’autres experts. Ensuite, nous avons pu les réintégrer dans notre système d’information.
A quelle date la situation a été totalement rétablie ?
L’attaque a eu lieu le 21 septembre 2024, et la situation a été rétablie autour du 15 novembre 2024. Cela peut sembler long, mais c’est rapide pour ce genre de situation.
A combien estimez-vous l’impact économique de cette attaque ?
Il est difficile de chiffrer le coût économique de cette attaque. Le nom de domaine, c’est la porte d’entrée d’Internet. Le risque était que nos clients nous abandonnent. On a la chance d’avoir des clients fidèles, qui ont compris ce qu’il se passait chez Namebay. Nous avons aussi la chance d’avoir des salariés qui sont très engagés et qui se sont battus pour continuer d’apporter le service qu’ils apportent depuis 25 ans à leurs clients. Tout cela nous a permis de perdre très peu de clients, alors qu’ils auraient pu décider de faire migrer leurs portefeuilles de noms de domaines ailleurs. Namebay n’a pas eu d’impact significatif en termes de perte de chiffre d’affaires.
Cette attaque a nécessité une série de dépenses exceptionnelles : à combien se monte la facture ?
Aujourd’hui, le coût global de cette opération est en cours de chiffrement. Bien sûr, Namebay est assuré pour ce genre de risques. Les assurances ont donc couvert une très grande partie de nos dépenses. Cependant, l’impact existe pour Namebay, car des ressources humaines ont été mises à disposition. Mais Namebay a les moyens de faire face à cette situation imprévue.
Cela représente plusieurs millions d’euros ?
Pour Namebay, le coût de cette attaque est en centaine de milliers d’euros.
Comment éviter que ce type d’attaque ne se reproduise ?
Le système d’information a été remonté dans les règles de l’art. Mais personne n’a de boule de cristal. Des entreprises leaders dans des solutions de cybersécurité se sont fait prendre. Pourquoi s’attaquer à Namebay ? On peut se poser la question. C’est un peu surprenant. Car, dans le monde, il y a plusieurs milliers de « registrars ». Or, Namebay n’est pas un gros « registrar » mondial.
« Personne n’a de boule de cristal. Des entreprises leaders dans des solutions de cybersécurité se sont fait prendre »
Comme Namebay est installé à Monaco, cela fait de votre entreprise une cible potentielle pour les pirates ?
Je ne sais pas. On s’est demandé pourquoi Namebay. Nous sommes une entreprise qui était solide d’un point de vue technique. En 24 ans d’existence, Namebay n’a pas eu de problèmes de cette nature. Est-ce que ces attaques sont menées de façon aléatoire au niveau des systèmes de “ransomware” ? On ne sait pas.
Les hackeurs sont de plus en plus habiles : c’est notamment grâce à l’intelligence artificielle ?
L’intelligence artificielle peut servir beaucoup de demandes, même si certaines sont plus obscures que d’autres. Il faut toujours essayer d’avoir un coup d’avance. Nous avons chez Namebay des experts de la cybersécurité. Ils essaient de toujours mettre en avant les technologies les plus sûres. Il faut se tenir à jour par rapport à toutes les failles de sécurité qui peuvent exister. C’est un combat sans fin. Ce sera le grand challenge, dans les années à venir. Et cela, pour toutes les entreprises, pas que pour les “registrars”. Des administrations sont attaquées aussi [en 2022, le site du département des Alpes-Maritimes a été attaqué, tout comme le spécialiste de la santé animale Virbac en juin 2023, la CCI Nice Côte d’Azur en août 2023, le CHU de Cannes en mai 2024, et enfin la ville de Nice le 31 décembre 2024 — NDLR]. Aujourd’hui, personne n’est à l’abri.
« Il faut se tenir à jour par rapport à toutes les failles de sécurité qui peuvent exister. C’est un combat sans fin. Ce sera le grand challenge, dans les années à venir »
Pourquoi ?
L’humain restera un humain. On le dit souvent : la première faille, c’est la personne qui est derrière l’ordinateur. C’est pour ça qu’il est très important de faire de la sensibilisation, afin que les gens sachent quoi faire s’ils reçoivent, par exemple, des e-mails de personnes inconnues, avec des pièces jointes. Il vaut alors mieux utiliser des outils pour ouvrir la pièce jointe à l’extérieur du système d’information. Comme ça, si la pièce jointe est « vérolée », elle ne touchera pas le système d’information. Tout cela passe par de l’éducation. Dès leur plus jeune âge, il faut sensibiliser les jeunes dans les écoles, pour qu’ils adoptent des règles de sécurité spécifiques lorsqu’ils sont dans un espace numérique.
En 2020, Namebay a été racheté par Nameshield qui est spécialisé dans la sécurisation de noms de domaine stratégiques et les services associés : cette attaque démontre que, malgré l’expertise de Nameshield, personne n’est à l’abri ?
Nameshield a apporté son aide. La « computer emergency response team » (CERT) [les équipes d’intervention d’urgence en matière de sécurité informatique — NDLR] de Nameshield a été en relation directe avec le CERT de l’AMSN. Il a piloté la restructuration de notre outil et toute la gestion de crise. Cela nous a permis d’aller plus vite, de bénéficier d’une expertise et d’un réseau. Sinon, Nameshield et Namebay ne sont pas sur les mêmes marchés.
C’est-à-dire ?
Nameshield est un “registrar corporate”. Ils ont des niveaux de sécurité. en conformité avec les engagements pris avec leurs clients. Cela demande des investissements beaucoup plus importants. Les systèmes de facturation de Nameshield sont un peu différents de ceux de Namebay. La tarification est différente, parce que les investissements sont beaucoup plus lourds.
Quelle est l’activité de Namebay ?
Namebay est une entreprise qui fête ses 25 ans d’existence en 2024. Nous employons une dizaine de salariés à Monaco, où Namebay a été créé. Nous sommes le seul « registrar » monégasque. Notre métier devient de plus en plus critique car, aujourd’hui, tout le monde est connecté via son téléphone mobile à un grand espace commun, qui s’appelle Internet. Or, cet espace Internet ne vivrait pas si les noms de domaine ne permettaient pas d’y accéder.
Qu’est-ce qu’un nom de domaine ?
La porte d’entrée d’Internet, c’est le nom de domaine. Un nom de domaine, c’est un vocable qui peut correspondre à une marque, à un nom patronymique, à un produit commercial, etc. Il est suivi d’une des plus de 2 000 extensions qui existent dans le monde actuellement. Les plus connus sont le « .com », le « .mc » pour Monaco et le « .fr » pour la France. Chacune de ces extensions a ses propres règles. Elles sont opérées par des « registres », c’est-à-dire par des des opérateurs techniques, comme l’association pour le nommage Internet en coopération (Afnic) pour le « .fr », ou comme le registre monégasque pour le « .mc ». Chacune de ces entités à ses propres règles d’enregistrement au niveau des noms de domaine.
Quel est le métier de Namebay ?
Le métier de Namebay consiste à enregistrer à travers le monde, et dans n’importe quelle extension, le nom de domaine demandé par un client, en fonction des contraintes locales. Dans certains cas, le registre va nécessiter d’avoir une présence locale. Par exemple, pour déposer le nom de domaine, il faut avoir des serveurs sur place. Ou bien il faut être titulaire d’une marque. Les registres reçoivent des délégations de la part d’une entité, qui est un peu le gendarme de l’Internet, et qui s’appelle l’Internet Corporation for Assigned Names and Numbers (Icann) [société pour l’attribution des noms de domaine et des numéros sur Internet, une structure qui a été créée le 18 septembre 1998 -— NDLR], et qui dépend du département du commerce des Etats-Unis.
Que propose Namebay à ses clients ?
Namebay permet à ses clients d’enregistrer des noms de domaine n’importe où dans le monde, en fonction de son positionnement, c’est-à-dire de son implantation et du commerce réalisé dans le pays. Nous rendons ce nom de domaine actif par le biais d’une infrastructure qui pourrait être comparé à une gare de triage souterraine dans un métro. Sans elle, on envoie l’internaute dans la mauvaise direction. Le Domain Name System (DNS) [système de nom de domaine — NDLR] est donc un élément crucial d’Internet. Surtout le DNS autoritaire, car c’est celui qui détient la « vérité », et qui sait où l’internaute doit aller, quand il pose une question sur le réseau. Cette infrastructure DNS doit donc être solide. Elle doit aussi être en conformité avec les données transmises par les clients, et se montrer rapide, en offrant des temps de réponses courts pour l’internaute. Pour résumer, Namebay enregistre et gère des noms de domaine, et en assure leur disponibilité.
Quel est le chiffre d’affaires réalisé par Namebay ?
Je ne pourrai pas communiquer sur le chiffre d’affaires de Namebay, car nous sommes sur un marché très concurrentiel. Nous intéressons beaucoup de gros acteurs, et notamment des gros acteurs américains. Nous ne voulons donc pas laisser filtrer des informations sur notre chiffre d’affaires ou sur notre rentabilité.
Pour lire la suite de notre dossier « Monaco face au péril des cyberattaques », cliquez ici.
