𧚠Breaking news (quâils auraient prĂ©fĂ©rĂ© ne jamais publier)
Le groupe de presse amĂ©ricain Lee Enterprises, propriĂ©taire de plus de 70 journaux locaux aux Ătats-Unis, a subi en fĂ©vrier 2025 une attaque par ransomware. Trois mois plus tard â oui, trois mois, ce nâest pas une coquille â la sociĂ©tĂ© reconnaĂźt publiquement que 39 000 personnes ont vu leurs donnĂ©es personnelles siphonnĂ©es : noms, adresses, numĂ©ros de sĂ©curitĂ© sociale, dates de naissance⊠autant dire la trousse complĂšte de lâusurpation dâidentitĂ©.
Rappelons que Lee Enterprises, ce nâest pas juste le petit journal du coin. Câest un acteur majeur du paysage mĂ©diatique local, particuliĂšrement implantĂ© dans les Ătats du Midwest amĂ©ricain. Ironie du sort : en 2023, ils publiaient encore des articles sur « les risques croissants de cyberattaques contre les PME locales ». Spoiler : ils auraient peut-ĂȘtre dĂ» sâabonner Ă leur propre fil dâactualitĂ©.
đ RĂ©cap technique : anatomie dâun plantage Ă la Lee
Quand ?
Lâincident date de fĂ©vrier 2025, mais lâentreprise nâa commencĂ© Ă notifier les victimes quâen mai. Pourquoi ce dĂ©lai ? Aucune explication convaincante Ă ce jour, hormis le bon vieux « lâenquĂȘte est en cours ». Autant dire quâon est plus proche de la dissimulation passive que de la transparence proactive.
Comment ?
Peu dâinformations techniques filtrent sur le vecteur dâattaque, mais on peut raisonnablement supposer une compromission initiale via phishing ou RDP mal protĂ©gĂ© (un classique des ransomware gangs). Une fois dans la place, les attaquants ont dĂ©ployĂ© un ransomware encore non identifiĂ© publiquement, avec exfiltration prĂ©alable des donnĂ©es.
Quoi ?
Les données touchées : des informations personnelles sensibles, visiblement extraites de systÚmes RH ou comptables internes. Rien ne confirme encore que des comptes clients ou données bancaires soient concernées⊠mais à ce stade, on ne miserait pas notre crypto sur leur parole.
đŻ Quand la presse oublie de relire sa propre politique de sĂ©curitĂ©
Ce nâest pas la premiĂšre fois que nous dĂ©nonçons dans SecuSlice l’Ă©tat souvent calamiteux de la cybersĂ©curitĂ© dans des secteurs jugĂ©s « non prioritaires » comme la presse ou lâĂ©ducation. Dans notre article sur les fuites de donnĂ©es critiques, nous pointions dĂ©jĂ le sous-investissement chronique en cybersĂ©curitĂ© des acteurs « non-tech » â pourtant ultra-dĂ©pendants du numĂ©rique pour leur simple survie.
Les journaux papier ?
Ils ont peut-ĂȘtre une odeur nostalgique, mais ce sont bien les serveurs de paie, les outils RH en SaaS et les solutions de CRM en ligne qui font tourner la boutique. Et ceux-lĂ sont souvent protĂ©gĂ©s avec autant de rigueur quâun mot de passe â1234â.
𧰠Conseils techniques pour éviter de devenir la Une
𧱠Segmentation réseau :
Isoler les environnements RH et financiers dans des VLAN séparés, interdire les connexions sortantes inutiles, surveiller les flux inter-VLAN. Basique ? Oui. Fait ? Trop rarement.
đ MFA obligatoire :
Si lâattaque est passĂ©e par une session RDP exposĂ©e ou un compte VPN, lâabsence de MFA est une faute professionnelle. Mettez du MFA partout. Point.
đŻ EDR / XDR :
Les outils modernes dâanalyse comportementale auraient pu dĂ©tecter une exfiltration massive ou une Ă©lĂ©vation anormale de privilĂšges. LĂ encore, pas cher payĂ© comparĂ© au coĂ»t dâun ransomware mĂ©diatique.
đ Et surtout : Plan de rĂ©ponse Ă incident
Lee Enterprises a mis trois mois Ă rĂ©agir. Est-ce que cela vous semble rapide dans le contexte actuel ? Spoiler : non. Un vrai plan de gestion de crise, testĂ© rĂ©guliĂšrement, aurait permis dâinformer plus vite, de contenir mieux, et de ne pas finir dans les colonnes cybersĂ©curitĂ© du jour.
âïž ConsĂ©quences lĂ©gales en vue ?
MĂȘme si Lee Enterprises nâest pas directement soumis au RGPD, les lois amĂ©ricaines comme le CCPA (en Californie) ou le Colorado Privacy Act imposent des obligations similaires de notification rapide. Avec ce retard, des sanctions pourraient tomber, sans compter les recours collectifs qui risquent dĂ©jĂ de fleurir â comme les mauvaises nouvelles en pĂ©riode Ă©lectorale.
đïž Conclusion SecuSlice : Un journal local, une fuite globale
Ce nâest pas juste une histoire de ransomware de plus. Câest un exemple flagrant dâinertie, dâopacitĂ©, et de gestion de crise mĂ©diocre dans un secteur qui pensait, Ă tort, ĂȘtre Ă lâabri. La presse est-elle prĂȘte pour la cyberdĂ©fense ? Pas si elle continue Ă prioriser l’impression papier sur la protection de ses systĂšmes dâinformation.
Ă ce rythme-lĂ , la prochaine Une de leurs journaux pourrait bien titrer :
« Les pirates nous lisent plus que nos abonnés. »
đ”ïžââïž Lâessentiel :
Le gĂ©ant amĂ©ricain de la presse Lee Enterprises, Ă©diteur de dizaines de journaux locaux aux Ătats-Unis, a confirmĂ© quâune attaque par ransomware survenue en fĂ©vrier 2025 a entraĂźnĂ© le vol de donnĂ©es personnelles concernant 39 000 personnes. Parmi les informations compromises : noms, dates de naissance, numĂ©ros de sĂ©curitĂ© sociale et adresses â bref, le starter pack du parfait usurpateur dâidentitĂ©.
đ
Retour sur les faits :
Le piratage nâa Ă©tĂ© dĂ©couvert quâaprĂšs que des fichiers sensibles ont commencĂ© Ă circuler sur le dark web. LâenquĂȘte a rĂ©vĂ©lĂ© que lâattaque avait visĂ© des serveurs internes via un ransomware non prĂ©cisĂ©. L’entreprise a mis plus de trois mois Ă notifier les victimes, ce qui ne manquera pas de soulever quelques sourcils du cĂŽtĂ© des rĂ©gulateurs.
đ Pourquoi câest grave ?
- Exfiltration confirmĂ©e : Ce nâest pas quâun chiffrement, les donnĂ©es ont bien Ă©tĂ© volĂ©es.
- Ciblage de lâinfra RH : Le point dâentrĂ©e reste flou, mais les donnĂ©es concernĂ©es sont typiquement hĂ©bergĂ©es dans des systĂšmes de gestion RH ou comptables.
- Retard de notification : Trois mois pour notifier une fuite aussi sensible ? La course à la transparence semble avoir un faux départ.
đĄ Leçon pour les DSI :
- Segmenter les accĂšs aux bases sensibles, notamment les bases RH ou clients.
- Surveiller les mouvements latéraux dans les SI avec des solutions EDR ou XDR.
- Anticiper la crise mĂ©diatique : prĂ©parer un plan de communication pour Ă©viter le syndrome « on lâa appris dans la presse ».
âïž Et cĂŽtĂ© conformitĂ© ?
Avec le CCPA en Californie ou le RGPD en Europe, un tel incident aurait des consĂ©quences juridiques immĂ©diates. MĂȘme si Lee Enterprises opĂšre majoritairement aux Ătats-Unis, la tendance mondiale est au durcissement rĂ©glementaire. Les amendes pourraient suivre⊠mais bien aprĂšs lâindignation publique.
đïž Verdict SecuSlice :
Encore une entreprise qui dĂ©couvre que le journalisme, câest aussi savoir gĂ©rer ses propres titres⊠surtout quand ils parlent de vous. La cybersĂ©curitĂ© dans le secteur de la presse, souvent sous-financĂ©, est dĂ©sormais une prioritĂ© absolue. Car entre le papier et le ransomware, le second brĂ»le bien plus vite.
