Ministère de l’Intérieur : intrusion sur les systèmes de messagerie

Nos confrères d’INF la Rochelle révélaient l’information les premiers, hier 11 décembre à 19h45 : le ministère de l’Intérieur avait découvert « l’existence d’activités suspectes visant ses serveurs de messagerie ».

Selon nos confrères, « les serveurs informatiques, notamment, vont être redémarrés, tandis qu’il a été demandé aux policiers de changer leurs mots de passe sur l’ensemble des systèmes ».

L’incident a été confirmé par le service de communication du ministère : « l’identification de l’origine et de l’ampleur exacte de ces [activités suspectes, N.D.L.R.] est en cours d’analyse. Sans délai, des mesures ont été mises en œuvre par les services compétents afin de circonscrire la menace. Elles se traduisent par plusieurs actions conduites sur l’infrastructure réseau et par une élévation des règles et pratiques de sécurité informatique ».

Au micro de RTL, Laurent Nuñez a précisé qu’un assaillant « a pu pénétrer sur un certain nombre de fichiers » tout en indiquant ne pas disposer « de traces de compromissions graves ». Et de souligner que « les modalités d’accès au système d’information de tous nos agents ont été durcies ».

Prudent, le ministre s’est refusé à tout début d’attribution : « ça peut être des ingérences étrangères, ça peut être des gens qui veulent défier les pouvoirs publics et montrer qu’ils sont capables d’accéder à des systèmes, et puis ça peut être aussi de la cybercriminalité. Là, pour l’instant, on ne sait pas ce que c’est ».

Ce n’est guère surprenant, à ce stade. Déterminer si des données ont été volées lors d’une intrusion, et lesquelles, peut prendre du temps. Établir la motivation de l’assaillant lors des premières étapes d’une cyberattaque peut aussi s’avérer très délicat ; les traces de ses activités et les marqueurs techniques associés peuvent donner des indices, mais sans qu’ils soient nécessairement concluants.

C’est d’autant plus vrai dans un contexte de prolifération des identifiants compromis par cleptogiciels : ceux-ci sont effectivement susceptibles d’être utilisés par des assaillants aux motivations très variées pour établir un accès initial.

France Travail l’a encore récemment illustré, à l’occasion d’un vaste vol de données parti du compte d’un agent, détourné, ou « piraté ». Et pas n’importe lequel : un responsable gestion de compte (RGC) d’une mission locale.

Actuellement, quelques dizaines de milliers de comptes utilisateurs associés aux services du ministère de l’Intérieur sont connus des spécialistes pour avoir été compromis par des infostealers.

La très grande majorité des identifiants concernés se rapporte vraisemblablement à des comptes de citoyens utilisateurs, et pas ceux d’agents de l’administration. Mais il suffirait d’un.

C’est suffisant pour représenter un risque, et dans le contexte de sa matérialisation, pour motiver le renforcement des mesures d’authentification, notamment en provoquant une rotation des mots de passe et en étendant le recours à l’authentification à facteurs multiples (MFA).