Le sous-domaine dédié à l’assistance de l’hébergeur français LWS (aide.lws.fr) a été victime d’une intrusion informatique majeure. Un groupe de cybercriminels opérant sous le nom de « AplaGroup » revendique le contrôle total de la plateforme, incluant l’accès aux tickets de support et au panneau d’administration.
Chronologie et éléments de l’attaque
Une preuve visuelle de la compromission s’est rapidement propagée en ligne, montrant une défiguration (defacement) de la page d’accueil du site d’assistance de LWS. Le message affiché par les attaquants ne laisse aucun doute sur la nature de l’incident : « THIS WEBSITE HAS BEEN SEIZED BY AplaGroup » (Ce site web a été saisi par AplaGroup).
Les captures d’écran fournies par le groupe criminel révèlent deux éléments critiques concernant l’exfiltration et l’accès aux données :
- Accès au panneau d’administration arrière (Back-Office) : Une interface permettant la modification directe des questions de la FAQ (Foire Aux Questions) a été compromise. On y aperçoit des outils d’édition de contenu et des structures de gestion de tickets.
- Fuite de données brutes (Logs et fichiers JSON) : L’accès direct à des fichiers de configuration et des bases de données de l’administration (notamment des fichiers d’exemples et des scripts en
.txt/JSON) contenant des correspondances clients, des identifiants internes (pseudos de techniciens comme « fabrice-LWS » ou « Sylvain MORAGUES »), ainsi que des adresses e-mail de clients (telles queamededragon@gmail.com).
Revendications des attaquants : AplaGroup affirme détenir l’intégralité des tickets de support client historique ainsi que les accès complets au panel d’administration. Une demande de rançon accompagne cette défiguration, invitant les responsables de l’infrastructure ou les victimes à entrer en contact avec les pirates via l’application de messagerie sécurisée et décentralisée Session.
Quels sont les risques pour les clients LWS ?
Bien que l’infrastructure principale d’hébergement des serveurs des clients de LWS (lws.fr) semble distincte du site d’aide et de documentation compromis, cette faille pose des risques indirects sérieux en matière d’ingénierie sociale et de confidentialité.
| Type de Donnée Compromise | Risques Associés pour l’Utilisateur |
| Historique des tickets de support | Les attaquants ont accès aux questions techniques passées, ce qui peut inclure des détails d’architectures réseau, des faiblesses déclarées par les clients, ou des informations personnelles. |
| Adresses e-mail clients | Utilisation massive de ces adresses pour des campagnes de phishing ciblé (spear-phishing) extrêmement réalistes, simulant de faux messages de sécurité de l’hébergeur. |
| Noms et pseudos de techniciens | Renforcement de la crédibilité des attaques par usurpation d’identité. Un pirate pourra se faire passer pour un technicien connu (ex: Sylvain ou Fabrice) pour soutirer des mots de passe. |
Mesures de sécurité recommandées
Si vous êtes client chez LWS ou si vous avez interagi avec leur support technique récemment, il est impératif d’adopter des mesures de vigilance strictes pour sécuriser vos infrastructures et vos comptes :
- Méfiance absolue face aux e-mails entrants : Soyez extrêmement vigilants face aux courriels prétendument envoyés par LWS demandant une action urgente, un renouvellement de domaine immédiat ou un changement de mot de passe.
- Vérification de l’adresse de l’expéditeur : Un e-mail légitime doit provenir d’une adresse officielle (comme
noreply@lws.fr) et contenir votre identifiant client exact. Ne cliquez jamais sur les liens directs contenus dans les e-mails de notification de sécurité. - Accès manuel au panneau de contrôle : Pour toute vérification ou modification sur votre compte client, connectez-vous toujours manuellement en saisissant l’adresse officielle dans votre navigateur :
https://www.lws.fr. - Renouvellement des identifiants par précaution : Si vous suspectez que des données sensibles ou des mots de passe de transit ont été partagés dans vos anciens tickets d’assistance, modifiez immédiatement les mots de passe de vos espaces clients et de vos bases de données.
