A.G. photographe - Fotolia
Ministère de l’Intérieur : l’intrusion revendiquée par les opérateurs de BreachForums
Les opérateurs de ce forum ont indiqué avoir « pleinement compromis » le ministère de l’Intérieur et accédé aux données de police de plus de 16,4 millions de personnes. Le tout en prétendant utiliser son serveur d’email.
Le forum bien connu des cybercriminels – ainsi que des forces de l’ordre et des chercheurs, notamment - BreachForums est une énième fois de retour. Et bien sûr, pas sans provocation.
Dans un message publié samedi 13 décembre, l’un des administrateurs du forum pointe directement les autorités françaises, évoquant les arrestations de l’été dernier, dans l’Hexagone.
Et de revendiquer, bravache, d’avoir « pleinement compris », à titre de revanche, « le ministère Français de l'Intérieur ». Ce qui au permis aux pirates d’accéder aux données de police de plus de 16,4 millions de personnes, entre fichier de traitement des antécédents judiciaires, et fichier des personnes recherchées, notamment. Surtout, l’administrateur du BreachForums nouveau dit avoir également réussi à s’inviter dans les systèmes de la DGFIP et de la CNAV : « pourquoi ne dites-vous pas au peuple Français et au monde ce qui s’est réellement passé au cours de ces deux semaines ? ».
La semaine dernière, le ministère de l’Intérieur a reconnu une intrusion limitée, évoquant des « activités suspectes visant ses serveurs de messagerie », mais de plus.
Les opérateurs de BreachForums semblent avoir cherché à profiter de cette déclaration pour donner du point à leurs nouvelles allégations. De fait, ils ont notamment annoncé la réouverture du forum par e-mail… en utilisant une adresse non-nominative du ministère de l’Intérieur comme adresse d’expéditeur.
Mais selon les informations à notre disposition, cet e-mail ne semble pas avoir été expédié depuis les serveurs du ministère : c’est un spoofing, une usurpation d’identité de l’expéditeur. Les entêtes de message qui nous ont été fournies montrent que le courriel a été en réalité expédié en utilisant Amazon Simple Email Service.
DMARC a bien été configuré sur le nom de domaine du ministère de l’Intérieur, avec une réserve toutefois, qui a pu jouer en faveur des usurpateurs : le réglage « policy », qui indique aux serveurs en réception quel traitement réserver aux usurpateurs, a été à « none », et non pas « quarantine » ni « reject », laissant le soin au destinataire d’un mail usurpateur de le traiter lui-même, manuellement.
Pour approfondir sur Menaces, Ransomwares, DDoS
-
![]()
Ransomware : le gouvernement britannique s’apprête à interdire le paiement des rançons
Par: Valéry Rieß-Marchive
-
![]()
Sécurité des événements sportifs : la data au centre du jeu
Par: Christophe Auffray
-
![]()
Kubernetes : les enjeux de son adoption pour le secteur public
Par: Gaétan Raoul
-
![]()
Les défis de l’IA au ministère de l’Intérieur
Par: Gaétan Raoul
