Un piratage de plus contre un service public français. Et pas des moindres. La Direction interministérielle du numérique, un service du Premier ministre placé sous l’autorité du ministre de la Transformation et de la Fonction publique, a annoncé que la plateforme HubEE a subi le 09 janvier dernier une cyberattaque. Environ 160 000 documents, dont certains contenant des informations personnelles, ont fuité, annonce-t-on.
Début décembre, une intrusion informatique a touché les serveurs de messagerie et applicatifs métiers du ministère de l’Intérieur, permettant l’accès à des fichiers sensibles dont le Traitement des antécédents judiciaires (TAJ) et le Fichier des personnes recherchées (FPR). Le ministre Laurent Nuñez a qualifié l’incident de “très grave”, confirmant que” des fichiers importants, dont le traitement des antécédents judiciaires, ont été consultés”. Deux enquêtes ont été ouvertes par le Parquet national financier et la DGSI, avant l’interpellation d’un hacker français de 22 ans, mis en examen et écroué.
La CAF parmi les administrations touchées
Au même moment, le système Pass’Sport du ministère des Sports subissait une compromission entraînant la fuite de millions de données concernant 3.5 millions de foyers. Le ministère et la CAF ont confirmé l’absence de brèche sur les cœurs SI, pointant une vulnérabilité sur le portail d’inscription. Une plainte a été déposée et la CNIL notifiée pour évaluer les risques d’usurpation d’identité.
À la veille de Noël, c’est au tour de La Poste de subir une cyberattaque massive, “d’une ampleur inédite”, de type DDoS et cette fois-ci, il ne s’agit pas que d’une fuite de données mais d’une paralysie de ses services numériques (suivi colis, La Banque Postale, Digiposte) et perturbant les livraisons festives. Revendiquée par des hackers « prorusses », l’opération mobilise DGSI et gendarmerie sans fuite de données ni arrestations connues. La cyberattaque s’est atténuée les 23-24 décembre et le ministre Roland Lescure a confirmé l’absence d’exfiltration et la priorité donnée à la reprise des services en fin d’année. La Poste a de nouveau été ciblée le 1ᵉʳ janvier.
Le même jour, l’Office français de l’immigration et de l’intégration (Ofii) a fait l’objet, via un prestataire, d’un piratage avec la fuite de données sensibles sur des milliers de signataires du Contrat d’Intégration Républicaine (CIR) comme des noms, des motifs de séjour et des contacts. L’OFII a minimisé l’impact à “moins de 1 000 personnes” dans son communiqué du 4 janvier, confirmant une publication sur des forums.
Vendredi, la Direction interministérielle du numérique (Dinum) a annoncé un nouveau piratage. Cette fois-ci, c’est la plateforme HubEE, développée pour centraliser les données déposées en ligne par des citoyens durant leurs démarches administratives et sécuriser leurs échanges avec les autorités, qui a été ciblée le 09 janvier dernier.
Selon la Dinum, les pirates ont réussi à exfiltrer environ 160 000 documents, dont certains contenant des données personnelles. Parmi les administrations concernées figurent la direction de l’information légale et administrative, la direction générale de la cohésion sociale, la Direction générale de la santé et surtout, la Caisse nationale des allocations familiales.
Une hygiène numérique “défaillante”
L’intrusion sur la plateforme HubEE, poursuit la même source, a été détectée le 9 janvier. “Des mesures conservatoires ont immédiatement été mises en place pour bloquer l’attaquant et renforcer les mécanismes d’authentification et de surveillance des flux”. Le service a été pleinement rétabli le 12 janvier.
La Dinum, qui dit avoir alerté la Commission nationale de l’informatique et des libertés (CNIL) affirme qu’à ce jour, “les données exfiltrées n’ont pas été publiées”. L’Agence Nationale de la Sécurité des Systèmes d’Informations (Anssi), le Premier ministre et la police judiciaire ont également été informés.
Pour les experts, cette multiplication des cyberattaques, et leurs réussites notamment en ce qui concerne les services publics français, se nourrissent de nombreux facteurs. Cette hausse des attaques de type DDoS, phishing et ransomwares, est attribuée à l’usage de l’IA ainsi qu’au contexte géopolitique tendu, notamment en Europe, avec la guerre en Ukraine.
Toutefois, leur efficacité s’explique surtout, selon des observateurs, par des erreurs humaines récurrentes et une hygiène numérique “défaillante” comme le déplorait Laurent Nunez comme une incapacité à détecter un phishing, des mots de passe ne respectant pas les règles de complexité, l’absence de double authentification ou des SI fragiles.