Le prestataire Francelink a publie sur sa page de status (status.francelink.net) un rapport d’incident détaillant la cyberattaque subie le 28 juillet 2025 à 20h30.

🔐 Détails de l’attaque Le rapport attribue l’attaque au groupe AKIRA. Deux actions coordonnées ont été menées : chiffrement des données sur les serveurs de production et chiffrement des serveurs de sauvegarde. Les éléments disponibles indiquent une probable extraction de données conforme au mode opératoire du groupe. Environ 93 % des serveurs ont été affectés, impactant la quasi-totalité des services et des clients.

⚠️ Impact

  • Disponibilité : Interruption immédiate de l’ensemble des services après détection.
  • Données clients : Données hébergées inaccessibles car chiffrées.
  • Restauration : Premières récupérations partielles effectuées les 07/08/2025 et 08/08/2025, avec de nouvelles vagues prévues pour un rétablissement progressif selon la qualité des données récupérées.

🛠️ Mesures prises

  • Isolement complet de l’infrastructure et coupure des accès réseaux.
  • Mise en place d’un environnement sécurisé pour empêcher toute propagation.
  • Procédure de réponse à incident avec des experts en cybersécurité.
  • Un premier prestataire de récupération de données a été mandaté puis écarté (tâche jugée hors de portée après 4 jours).
  • Second prestataire engagé, ayant permis une première récupération de données; d’autres vagues de récupération sont planifiées.

📜 Démarches légales et réglementaires

  • Déclarations effectuées auprès de la CNIL, de l’ANSSI et du Procureur de la République dans les 72 heures.
  • Les clients détenant des données personnelles doivent réaliser leur propre déclaration CNIL conformément au RGPD.

🔄 Prochaines étapes

  • Migration vers Microsoft Azure en cours pour renforcer résilience et sécurité; déploiement quotidien de nouveaux serveurs.
  • Services remis en ligne (sans données issues de l’infrastructure touchée, à ce stade) : serveurs mutualisés PHP/WordPress, serveurs dédiés, serveurs mutualisés WebDev (prévu cette semaine).
  • Restauration progressive des données au fil des vagues; formulaire disponible pour prioriser les éléments critiques à récupérer.
  • Le communiqué a fait l’objet d’une légère reformulation pour préciser certains points.

🧩 IOCs et TTPs

  • IOCs : Acteur impliqué — AKIRA.
  • TTPs : Chiffrement coordonné des environnements de production et de sauvegarde; probable exfiltration (double extorsion); interruption immédiate des services; horodatage de l’attaque — 28/07/2025 à 20h30.

Type d’article : rapport d’incident visant à informer sur les faits, l’état des récupérations et les prochaines étapes.

🔗 Source originale : https://status.francelink.net/rapport-dincident-cyberattaque-du-28-07-2025

🖴 Archive : https://web.archive.org/web/20250818102454/https://status.francelink.net/rapport-dincident-cyberattaque-du-28-07-2025/