Alors que la France s’apprête à entrer dans la période des fêtes de fin d’année, la cybersécurité de l’État semble pénétrer une zone de turbulences. Après une première alerte ayant touché des agents de la fonction publique en novembre, le ministère de l’Intérieur a officialisé ce 16 décembre les détails techniques de l’intrusion dont il est victime.
Dans une communication transmise à la presse, la place Beauvau confirme avoir subi une « intrusion malveillante » débutant par ses serveurs de messagerie. Si les premières investigations menées avec l’ANSSI montrent qu’un « nombre limité de boîtes de messagerie professionnelle » a été consulté, les conséquences sont plus profondes.
Le ministère admet que des « éléments d’identification » récupérés dans ces emails ont malheureusement permis « l’accès à des applicatifs métiers ». C’est la confirmation officielle que les pirates ont pu franchir la barrière des simples courriels pour toucher aux logiciels internes.
Pour rappel, dans la nuit du 11 au 12 décembre, les équipes du ministère de l’Intérieur ont constaté des activités anormales sur leurs réseaux. Si le ministre Laurent Nuñez a d’abord cherché à rassurer en évoquant une attaque ciblant les messages sans « traces de compromission grave », sur les antennes de RTL, le diagnostic s’est vite assombri.
Dès le 15 décembre, par un tweet du journaliste Raphaël Grably, on prenait connaissance du fait que les pirates ont pu accéder à des « applicatifs métiers », c’est-à-dire des outils et logiciels utilisés en interne. Avec le risque que ces programmes autorisent par la suite une intrusion plus profonde, jusqu’aux bases de données policières.
Face à cette brèche, un plan d’urgence a été déployé sous la supervision de l’ANSSI. Le ministère indique avoir procédé à la « généralisation de l’authentification à double facteur », à la révocation des accès compromis et au changement forcé des mots de passe pour l’ensemble des agents. Sur le plan judiciaire, l’enquête est confiée à l’Office anti-cybercriminalité (OFAC) sous la direction du parquet de Paris, et la CNIL a été notifiée.
L’ombre d’un vol massif de données
Cette transparence forcée intervient alors qu’un ultimatum court toujours. Le ministère déclare avoir constaté ce week-end une revendication sur la plateforme BreachForums, où un individu (identifié sous le pseudonyme Indra) menace de diffuser des données sensibles.
Si les pirates prétendent détenir 16,4 millions de fiches issues du traitement des antécédents judiciaires (TAJ), la prudence est de mise.
Le hacker éthique Baptiste Robert souligne que le message de revendication est ambigu : l’attaquant « dénonce le fait que 16 millions de personnes se trouvent dans cette base » et dit y avoir eu accès, mais ne prouve pas avoir exfiltré l’intégralité du fichier. Il note d’ailleurs l’absence d’échantillon précis et l’usage du terme vague de « government data », là où un vendeur de données est habituellement plus démonstratif.
Même son de cloche du côté des autorités. Le service de presse précise que « la réalité et la portée » de cette revendication font l’objet de vérifications et qu’il est impossible, à ce stade, de tirer des conclusions définitives sur le volume exact des données captées sans préempter les résultats de l’enquête.
Dans la journée du 16 décembre, Le Monde Informatique notait que les pirates clament en effet détenir des informations concernant 16,4 millions de personnes, en particulier des fiches provenant du traitement des antécédents judiciaires (TAJ) et du fichier des personnes recherchées (FPR). Comme cela avait été relevé, ce type de fuite était l’une des grandes craintes des autorités.
Cette situation de crise survient dans un contexte déjà assombri lors de l’affaire Resana en novembre.
Comme le rapportait Numerama, cette première alerte concernait une plateforme collaborative interministérielle. À la différence de l’attaque visant Beauvau, il ne s’agissait pas d’une faille technique centrale, mais de la compromission de comptes d’agents, via phishing, utilisée pour exfiltrer des documents de travail et exercer un chantage individuel sur les fonctionnaires.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Pour ne rien manquer de l’actualité, suivez Numerama sur Google !