C'est un piratage qui passe mal surtout quand il s'agit d'un des principaux ministères français : le ministère de l'intérieur. Les hackers français, voulant s'affilier au groupe français ShinyHunters avaient revendiqué l'attaque et l'accès aux données les plus sensibles du ministère. Parmi les données sensibles, les fichiers des personnes recherchées et les fichés S, ou encore les antécédents judiciaires ont été accessibles.

ShinyHunters a communiqué sur le fait qu'ils n'ont rien à voir avec cette attaque et ne veulent pas y être associés.

Une question arrive tout de suite : comment des données aussi confidentielles ont-elles pu être consultées et récupérées par des hackers ? Peut-on parler de fautes de sécurité, voire, un fiasco cybersécurité comme l'a dit Frandoid ?

Le pire est qu'il semblerait que les hackers n'ont même pas eu besoin d'exploiter une faille 0 days, provoquer un déni de services ou casser des protocoles de sécurité. Et c'est là où l'affaire devient génante : prise de contrôle de la messagerie, on parle ici du pot de miel pour attirer des utilisateurs et récupérer les identifiants pour accéder à la messagerie. De là, ils ont pu trouver des identifiants en clair échangés ou stockés par les agents ! Ces identifiants auraient du être chiffrés ou du moins proprement stockés...

L'étape suivante fut l'accès au logiciel interne CHEOPS, le portail du ministère... Comme le précise nos confrères de FRANDOID, l'accès est sécurisé par un token et un code PIN mais il existe un bypass par un simple identifiant et mot de passe, sans multi identification... Bref, : pas de 2FA ! Ce qui aurait été le minimum. 

Parler d'imprudences individuelles comme l'a dit le ministre l'intérieur n'est pas tenable : c'est toute la méthodologie de cybersécurité et d'authenficiation qui sont en cause. Et cela pointe a minima les erreurs et les retards de sécurité. Alors que l'ANSSI et l'Etat sont les premiers à taper sur les entreprises pour les manques de sécurité. 

Réponse immédiate : généraliser la double authentification. Non ce n'est pas une réponse, c'est une rustine. Cela aurait dû déployée depuis longtemps surtout pour des applications et des données aussi sensibles.

Chronologie de l'attaque

11 décembre : une activité anormale est détectée sur les messages

12 décembre : confirmation d'une attaque par le ministère

14 & 15 décembre : annonce de l'attaque sur le forum BreachForums fait depuis un domaine officiel interieur.gouv.fr. La question se pose : simple spoofing ou réelle compromission de comptes du ministère

16 décembre : confirmation que des applications internes ont été visitées par les hackers

17 décembre : un hacker est arrêté