L'Agence nationale de cybersécurité élève l'alerte face à une attaque de ransomware sur le centre commercial d'Avinguda Meritxell, perturbant

L'Agence nationale de cybersécurité d'Andorre (ANC-AD) a relevé le niveau d'alerte cybernationale de « élevé » à « très élevé » après avoir confirmé qu'un grand centre commercial d'Avinguda Meritxell a subi une attaque de ransomware, vraisemblablement menée par le groupe AKIRA, qui a chiffré une grande partie de ses systèmes informatiques. L'agence a annoncé cette escalade lundi, citant des incidents de sécurité graves touchant plusieurs entités au cours des deux derniers jours, au milieu d'une augmentation des scans réseau et d'exploitations de vulnérabilités visant des organisations andorranes.

Le centre commercial, qui n'a pas d'obligation légale de signaler la brèche, a informé l'ANC-AD de manière informelle lundi via des canaux non officiels. Il a formellement notifié l'agence mardi, incitant l'ANC-AD à déployer des ressources pour soutenir la récupération. La police et l'Agence de protection des données (APDA) ont également été informées via des plaintes de clients et fournisseurs affectés, inquiets de l'exposition de données personnelles liées aux cartes de fidélité, y compris des détails bancaires et immatriculations de véhicules pour les paiements de stationnement. L'ANC-AD a averti les opérateurs d'infrastructures critiques de renforcer la surveillance des accès VPN et RDP, de désactiver les connexions à distance inutiles ou de les sécuriser avec une authentification multifacteur, de mettre à jour les pare-feu et de rechercher des signes de mouvement latéral ou de sauvegardes altérées.

L'attaque s'est intensifiée tôt vendredi, paralysant les fonctions des cartes de fidélité et provoquant des dysfonctionnements des paiements, des points non enregistrés, des erreurs d'affichage de solde à zéro euro dans l'application, et des barrières de stationnement ouvertes. Des propriétaires d'entreprises espagnols ont signalé des retards pour récupérer leurs véhicules en raison d'échecs de facturation, le personnel invoquant un « problème technique » générique et recourant à des lecteurs de cartes de secours. Les fournisseurs ont fait face à des retards de traitement, tandis que certains clients ont eu des difficultés avec les abonnements ou les vérifications de solde.

Les techniciens ont travaillé tout le week-end sur des correctifs partiels, mais les services automatisés complets ne sont pas attendus avant la fin de cette semaine au plus tôt, les opérations manuelles créant des retards. L'entreprise a assuré aux régulateurs qu'au-delà des dommages à la réputation, des désagréments pour les clients et des pertes financières, aucun autre impact n'est connu pour l'instant – bien que des cas de ransomware comme celui-ci retardent souvent la confirmation d'une exfiltration de données. Les clients ont exprimé leur frustration face à une communication défaillante et à des craintes sur la sécurité des données, certains se demandant si les barrières ouvertes signalent une brèche cyber.

L'ANC-AD décrit AKIRA, actif depuis 2023 en tant que groupe Ransomware-as-a-Service, comme très sophistiqué dans les tactiques de double extorsion – chiffrement des données, vol pour menacer de fuites, et effacement de traces pour échapper aux enquêtes forensiques. Les responsables soulignent que l'alerte concerne un environnement de menaces plus large, incluant des activités en Espagne et en France, et non des cas isolés. Les enquêtes se poursuivent, sans détails pour l'instant sur l'ampleur de la brèche ou d'autres victimes.