Une incroyable négligence a ouvert les portes du ministère de l’Intérieur. L’absence de double authentification a permis à un jeune pirate de pénétrer dans des applications de police sensibles. Le ministre Laurent Nuñez parle d’« un défaut d’hygiène numérique » et assure que la double authentification est en cours de déploiement.
Le mois dernier, le ministère de l’Intérieur a subi une cyberattaque. Lors de l’attaque, qualifiée de « très grave » par Beauvau, des hackers ont consulté des fichiers de police sensibles, comme le TAJ (Traitement des antécédents judiciaires) ou le FPR (Fichier des Personnes Recherchées). Les investigations menées par Beauvau ont démontré qu’une centaine de fiches du TAJ ont été exfiltrées par les cybercriminels. Alors que l’enquête se poursuit, avec l’arrestation d’un jeune pirate de 22 ans à Limoges, Laurent Nuñez, l’actuel ministre de l’Intérieur, a été auditionné devant la commission des lois du Sénat au sujet de l’attaque.
À lire aussi : Les données volées à Colis Privé sont sur le dark web – plusieurs millions de Français sont touchés
« Un défaut d’hygiène numérique »
L’ancien préfet de police de Paris est revenu sur les circonstances qui ont permis à un pirate de pénétrer sur les serveurs du ministère. Dans un premier temps, le hacker est parvenu à prendre le contrôle de plusieurs boîtes mail de la Police nationale. On ignore comment le cybercriminel est arrivé à ses fins. Une fois dans les boîtes de messagerie, il s’est rendu compte que des agents de la Police nationale ont envoyé ou reçu des mots de passe en clair. Ces identifiants permettaient d’accéder à diverses applications sensibles, réservées aux forces de l’ordre.
Le pirate s’est alors servi des mots de passe échangés par mail pour se connecter aux applications, à l’insu des policiers et des services de sécurité. Le ministre admet qu’aucun système de double authentification était mis en place sur les applications. En l’occurrence, l’authentification multifactorielle aurait empêché le pirate de pénétrer dans des fichiers sensibles. Ce mécanisme ajoute une couche de sécurité supplémentaire en réclamant un code transmis par SMS, par e-mail ou via une application dédiée. Ce code complique fortement la tâche des pirates même s’ils ont déjà volé vos identifiants et vos mots de passe. De plus en plus répandue, l’authentification deux facteurs, qui fait pourtant partie des recommandations de sécurité les plus élémentaires, n’a pas été adoptée à tous les niveaux du ministère de l’Intérieur. L’ajout d’un système d’authentification à deux facteurs aurait théoriquement barré la route de l’attaquant. Pour Laurent Nuñez, il s’agit d’un évident « défaut d’hygiène numérique ».
De l’importance de la double authentification
L’absence d’authentification à deux facteurs est à l’origine d’une grande partie des cyberattaques réussies. Selon l’Autorité nationale en matière de cybersécurité et de cyberdéfense en France (ANSSI), plus de 80 % des intrusions dans les systèmes d’information proviennent d’un vol de mots de passe, et d’une absence d’authentification multifacteurs. C’est pourquoi c’est l’une des dix règles d’or de la cybersécurité de l’ANSSI.
« Le mot de passe seul ne constitue plus une protection suffisante. Réutilisés, partagés ou récupérés via le phishing et les fuites de données, les identifiants sont aujourd’hui à l’origine de 80 à 90 % des attaques réussies. L’authentification multifacteur (MFA) apporte une réponse simple et redoutablement efficace : même compromis, un mot de passe ne permet plus l’accès au système », nous explique EBS Group, soulignant que le dispositif « permet de bloquer la quasi-totalité des attaques courantes », et 99 % des tentatives de compromission de comptes.
Un déploiement progressif, mais chronophage
Une fois dans les applications, l’attaquant a pu consulter sept applications de police différentes, à savoir le Traitement d’antécédents judiciaires (TAJ), le Fichier des personnes recherchées (FPR), et les fiches Interpol, confirme Laurent Nuñez au Sénat. Le pirate a ensuite exfiltré 72 fiches complètes et plusieurs milliers de sommaires sur un total de 19 millions d’entrées disponibles. Bonne nouvelle, l’intrus n’a pas détruit ni modifié quoi que ce soit.
Dès que l’incident a été décelé, le ministère a supprimé les comptes inactifs et réinitialisé tous les mots de passe. Surtout, le ministre indique avoir « imposé la double identification systématique sur toutes les applications qui figuraient sur le portail dans lequel a pénétré l’assaillant ». On « déploie la double identification au fur et à mesure, mais ça prend énormément de temps », se défend Laurent Nuñez, face à des sénateurs estomaqués par ses révélations. Gageons que l’ajout de la double authentification préviendra de futures attaques.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source :
Public Sénat