Le ministère de l’Intérieur confirme avoir subi, il y a quelques jours, une intrusion dans ses systèmes informatiques. Cette attaque est revendiquée par un groupe de cybercriminels lié à BreachForums, une plateforme connue dans le milieu du piratage.
Des pirates au coeur de l'un des plus importants ministères français. La cyberattaque a été constatée dans la nuit du 11 au 12 décembre, quand les équipes du ministère de l’Intérieur ont repéré des activités anormales sur leurs réseaux. Le lendemain, le ministre de l’Intérieur, Laurent Nuñez, a confirmé une attaque informatique du ministère de l’Intérieur au micro du média RTL : « Il y a un assaillant qui a pu pénétrer sur un certain nombre de fichiers. Donc on a mis en place les procédures de protection habituelles. » Il a indiqué que ce piratage visait les messageries du ministère, sans pouvoir donner de précisions sur le fait que des fichiers aient été ou non dérobés.
Une cyberattaque revendiquant 16 millions de données
C’est le samedi 13 décembre à 18 h, qu’un message signé « Indra » a surgi sur BreachForums, un forum clandestin de cybercriminalité consacré au piratage et à la revente de données volées. Dans ce message de revendication, les cybercriminels promettent « l'’impact le plus important jamais vu en France » et parlent d’une « fuite publique complète ».
Ils disent avoir mené une infiltration pendant plusieurs semaines, dans un service interne du ministère, le CHEOPS (Circulation Hiérarchisée des Enregistrements Opérationnels de la Police Sécurisés) et dans des boîtes mail professionnelles d’enquêteurs. Ils laissent entendre qu'ils auraient réussi à extraire plus de 16 millions de données, notamment des informations sensibles normalement réservées au ministère. Parmi leur butin, les TAJ (antécédents judiciaires), FPR (personnes recherchées), ainsi que des données d’identification et financières.
Comme souvent dans les cyberattaques, ils ont fixé des conditions. Les attaquants exigent d’être contactés par l’État, avec un ultimatum d’une semaine réduit lundi à 48 heures, sous menace de revendre les données à d’autres groupes ou États, ou de les rendre publiques.
À ce jour, aucune preuve concrète n’a été rendue publique, aucun échantillon de données n’a été diffusé, ce qui fait douter le ministère de l’Intérieur de l’authenticité avérée de cette cyberattaque, qui reste toutefois prise très au sérieux par les autorités.
Quelle est la réaction de l’État ?
Une enquête judiciaire a été immédiatement ouverte par l’Office anti-cybercriminalité, avec des signalements à la procureure de Paris et à la CNIL (Commission nationale de l’informatique et des libertés).
Des mesures ont été mises en place pour protéger les services, comme le déploiement de l’authentification à deux facteurs pour l’ensemble des agents, le verrouillage des accès aux systèmes informatiques, ainsi que rappel des bonnes pratiques numériques auprès des personnels.
Ce mardi soir, le ministère de l’Intérieur, par une information transmise à BFMTV et relayée par le journaliste Raphaël Grably sur X, concernant l’enquête en cours, a déclaré : « Une revendication émanant d’un individu se réclamant de la plateforme BreachForums, déjà connue dans le cadre de précédentes affaires de cybersécurité, a été constatée ce week-end. » Il précise que la portée de son attaque fait toujours « objet de vérifications approfondies ».
Et si cette cyberattaque n’était qu’un cheval de Troie ?
En effet, quelques points subsistent à quelques heures de l’échéance lancée par les cybercriminels. Le ministère reste silencieux sur les accès exacts atteints par la fuite de données, pourtant clamés par les pirates. Aucune donnée n’a été rendue publique ou transmise sur les plateformes de cybercriminalité, afin de prouver leur coup orchestré, depuis plusieurs semaines selon eux. Pas de preuve non plus, de navigations comme des captures d’écran d’applicatifs internes, des journaux d’accès ou d’un accès à un canal de messagerie contrôlé avec les autorités.
Cette cyberattaque pourrait-elle servir aux cybercriminels à observer la réaction de l’État dans une telle situation, afin de révéler ses failles et de mieux les contourner dans une future attaque ? D’autant que les services de l’État sont de plus en plus pris pour cible.
Que va faire l’État ? Céder à une telle demande paraît fort peu probable, car c'est clairement contraire à la doctrine de l'ANSSI.
Reste l'éternelle question de la responsabilité : qui se cache derrière cette attaque ? De cybermalfaiteurs professionnels à des pirates agissant pour le compte d'un Etat, le panel est des auteurs potentiels et vaste et rien ne permet, en l'état, de privilégier une piste.
Partager cet article sur votre réseau préféré :
