À la suite de la cyberattaque qui a visé le département de Seine-Maritime samedi, la collectivité territoriale normande a décidé de couper son réseau informatique lundi 10 octobre. Nous avons posé quatre questions à Damien Bancal, expert en cyber intelligence.
Certains services en ligne du site du département de Seine-Maritime sont toujours hors ligne après la cyberattaque dont est victime le département depuis samedi matin. L'information a été rendue publique lundi midi par un communiqué. Il est impossible d'effectuer certaines procédures dématérialisées, le fonctionnement du site est dégradé et le département ne prévoit pas de retour à la normale avant plusieurs semaines. Le département a annoncé mercredi 12 octobre renouveler automatiquement les droits des allocataires de l'APA, de la PCH et du RSA.
La section cyber du parquet de Paris a ouvert une enquête et le département a annoncé avoir porté plainte. Il a précisé lundi lors d'une conférence de presse qu'il fait appel à des "moyens externes" pour sortir de cette situation. Pour l'heure, aucune rançon n'a été demandée et l'identité des pirates informatiques reste inconnue. Il ne s'agirait pas d'un hameçonnage par mail mais bien d'une attaque ciblée. Les données des usagers auraient, quant à elles, été protégées.
En tout, 500 000 euros sont investis chaque année pour la sécurité informatique du département. Ces dernières années, plusieurs cyberattaques contre des hôpitaux et des collectivités territoriales ont été recensées à l'image des services de la Ville de Caen le 26 septembre, l'hôpital de Corbeil-Essonnes en août, ou encore le CHU de Rouen en novembre 2019.
Damien Bancal, expert en cyber intelligence et rédacteur en chef du site d'information en sécurité informatique Zataz.com, nous éclaire sur le fonctionnement de ce genre d'attaques contre des collectivités territoriales et les raisons de leur multiplication.
Quels sont les différents scénarios d'une cyberattaque comme celle que subit actuellement le département de Seine-Maritime ?
Ce type de cyberattaque peut être multiple. Un pirate informatique peut être entré dans un serveur, avoir visité et collecté deux-trois informations. C'est le pirate informatique qu'on connaît depuis des décennies. Il peut aussi y avoir une faille quelque part dans le site Internet, par exemple pour le CCAS [Centre communal d'action sociale, ndlr], la restauration scolaire ou les écoles. Il a peut-être trouvé le moyen d'accéder à des noms et des prénoms.
La méthode la plus connue et surtout la plus virulente du moment, ce sont ces fameuses prises d'otage au cours desquelles les pirates informatiques entrent dans le serveur ou des ordinateurs. Ils bloquent tout, mettent un compte à rebours en disant 'vous me payez sinon je vais tout diffuser'. Aujourd'hui, les pirates informatiques ont un tel râtelier de nuisances que la moindre entreprise qui se sent impactée arrête tout.
Selon le département, il n'y a pas de demande de rançon. Pourquoi des pirates informatiques attaquent-ils sans demander d'argent ?
Les pirates informatiques ne sont pas obligatoirement dans cet état d'esprit. Nous avons de l'activisme avec des pirates informatiques qui veulent manifester. Ils diffusent un message ou une page particulière dans un espace plus ou moins privé de l'entreprise. Certains pirates informatiques vont simplement collecter de la donnée qu'ils vont revendre ensuite sur le dark web et dans les black markets, des magasins de vente de données piratées.
S'il y demande de rançon, les pirates informatiques l'ont obligatoirement installée quelque part dans la première machine qui a été prise en otage. Ce sont de petits fichiers textes. C'est marqué 'lisez-moi'. Certains pirates informatiques vont aussi envoyer un courrier électronique ou même téléphoner. Il y a tellement de possibilités aujourd'hui qu'il est très compliqué de savoir qui est derrière ce type d'attaque et la véritable motivation.
Ces dernières années, plusieurs services publics ont été touchés par des cyberattaques. Le département de Seine-Maritime était-il visé personnellement ?
Pour le moment, on ne sait pas véritablement si c'est le département de Seine-Maritime qui a été attaqué parce que les pirates informatiques sont de grands bateaux de pêche. Ils lancent un filet dans l'océan qu'est Internet et tout ce qui tombera dedans, un département, un médecin, un avocat, vous, moi, [...] deviendra une victime. Si on se fait prendre par ce filet de pêche, les pirates informatiques vont en abuser, infiltrer, exfiltrer, voire même demander de l'argent.
D'autant plus qu'en ce moment, une faille Internet vise un grand opérateur de logiciel planétaire. Cette faille est utilisée par les pirates informatiques pour entrer dans les entreprises. C'est l'occasion qui fait le larron chez les pirates informatiques. Ils ont la possibilité de rentrer, d'infiltrer, d'exfiltrer donc ils vont le faire.
Les collectivités territoriales et les hôpitaux sont-ils assez protégés par rapport aux entreprises privées ?
Les collectivités locales mettent de plus en plus de moyens et de budget quand elles le peuvent. Mais derrière, il faut des hommes, de la connaissance et de la culture. Les pirates informatiques s'attaquent surtout à tout ce qui peut être possiblement malmené. Dans une collectivité locale, on n'est pas obligatoirement dans l'accointance et le professionnalisme de l'informatique, et d'autant plus de la cybersécurité.
Et il y a du monde. Il suffit d'envoyer un courrier électronique à la compta, aux ressources humaines, voire à la direction générale. On l'a vu dernièrement avec énormément de mairies du côté du sud de la France. Le clic malheureux peut déjà permettre aux malveillants de rentrer.
On a tellement de logiciels et d'outils informatiques qui permettent la restauration scolaire, le CCAS, les spectacles… Le grain de sable va perturber ce rouage bien huilé. La mission du pirate informatique est de jeter des grains de sable.
