Que pourrait cacher le piratage du site de la mairie de Toulouse, en (longue) maintenance depuis plus d'un mois ?

Le site web de la mairie de Toulouse a été victime de piratage au mois d'avril. Fin mai, le site internet est toujours fermé, en maintenance. Des hackeurs expliquent ce que pourrait signifier cette attaque et les précautions à prendre en cette période où beaucoup sont encore en télétravail.



 

Le hacker pourrait générer ou réclamer des bitcoins (monnaie virtuelle) à la mairie de Toulouse.
Le hacker pourrait générer ou réclamer des bitcoins (monnaie virtuelle) à la mairie de Toulouse. © Patrick Lefevre/BELPRESS/MAXPPP
Le site internet de la mairie de Toulouse est hors-service depuis le 29 avril dernier. La ville avait d'abord évoqué une "maintenance de sécurité prévue depuis longtemps" avant d'admettre avoir été victime d'une attaque malveillante. Elle a alors porté plainte. Mais depuis, www.toulouse.fr est toujours en indisponible, "en maintenance" indique la page d'accueil. Et comme une enquête est en cours, la mairie de Toulouse n'a pas souhaité s'exprimer sur le sujet.
 
Pour la plupart des informaticiens spécialistes en sécurité que nous avons interrogé, cette période de maintenance est anormalement longue. Il ne faudrait que quelques jours pour remettre un site en route. A moins que ...

La mairie était-elle mal préparée ?

"Une cyber attaque est faite pour récolter des données" explique un consultant en informatique toulousain. "Avec ces données on peut faire du chantage, les utiliser à l'encontre de quelqu'un... tout dépend de la nature de ces données" précise-t-il. 

"Tous les sites peuvent être piratés" affirme Mickael Bonnet, consultant en informatique et formateur en cyber sécurité à Toulouse. "Mais normalement, des sauvegardes doivent être effectuées régulièrement pour pouvoir justement remettre son site sur pieds rapidement", précise-t-il. Pour lui, cela peut prendre du temps de remettre le site en marche si la mairie n'a pas de contrat de maintenance avec un prestataire. Autrement dit, si elle était mal préparée à cette probabilité. 

Même s'il reconnait qu'il est difficile de se prononcer sans connaître les détails de l'attaque, le chercheur en cyber sécurité Baptiste Robert confirme que quelque soit sa nature, "ce temps de remise à niveau montre une attaque profonde et dévastatrice". Et s'il est si long de remettre les systèmes en marche, c'est probablement parce que "la mairie n'avait pas de plan de secours", constate l'informaticien. Et d'ajouter : "ce n'est pas facile de se remettre d’un incident, c’est un vrai métier. Mais un mois et demi ça reste long". Il conclut que cette attaque révèle l'"inexpérience" et l'"impréparation" de la mairie de Toulouse.

Le hacker pourrait vouloir des bitcoins


Les informaticiens que nous avons sollicité sont tous d'accord : le hacker pourrait réclamer ou générer des bitcoins, monnaie virtuelle. "Ce genre d'attaque peut permettre d'accéder à une base de données, la chiffrer, et demander de l'argent payé en bictoins, donc pas traçable", explique Philippe Ramoul, chercheur en cyber sécurité et géopolitique. Pour lui si le hacker peut réclamer de l'argent virtuel, il pourrait aussi avoir des motivations politiques. 

Le chercheur Baptiste Robert n'est pas de cet avis. D'après lui, il ne s'agit sûrement pas d'une attaque ciblée. Il explique que si quelqu'un a attaqué le site de la mairie, c'est sûrement par hasard. En fait chaque fois qu'une faille est repérée dans un système, des méthodes de piratage ("exploits") sont diffusées sur internet en libre accès. Concrètement, Google repertorie ces exploits, indique Mickael Bonnet. Il suffit alors aux hackers de tester ces piratages sur tous les sites internet, "de manière automatique" précise Baptiste Robert. Le premier site défaillant que le pirate trouve est alors attaqué automatiquement.

En résumé le système informatique de la mairie de Toulouse devait être vulnérable, et le hacker a peut-être pu en profiter pour générer automatiquement de la cryptomonnaie comme le bitcoin par exemple. L'attaquant aurait donc généré de l'argent virtuel. Il s'agit de l'une des possibilités, "une fois à l'intérieur du système, il faut décider ce qu'on a envie de faire" explique le chercheur. Trois possibilités s'offrent au pirate, selon Baptiste Robert :Ces attaques sont plus ou moins faciles à produire. Elles ne sont pas quantifiables mais il y en aura toujours, tant qu'il existe des sites défaillants. D'où l'importance de la cyber sécurité, souligne Baptiste Robert :

Chaque entreprise, individu, ou mairie doit se préparer au risque. C'est une réelle menace pour l'activité directe d’une entreprise. Tout le monde devrait se poser ces questions : que fais-je en premier si demain je me fais attaquer ? Comment je réagis ? Comment je remets en place le système ?

Les raisons d'une cyber attaque sont multiples et les intentions d'un hacker sont aussi diverses que son imagination. Concernant le site internet de la mairie de Toulouse aucune certitude pour le moment. L'opération de maintenance et l'enquête sont toujours en cours.
 
Comment se protéger des hackers ?
Le contexte de télétravail accru engendré par le crise sanitaire liée au coronavirus peut apparaître pour des pirates malveillants comme une porte ouverte à un grand nombre d'entreprises. Il faut savoir que c'est à l'entreprise de mettre en place un système sécurisé et de justement se préparer à l'éventualité d'une cyber attaque "mais c'est un jeu qui se joue à deux" tient à préciser Baptiste Robert. Et tout est attaquable. A titre préventif, les chercheurs que nous avons interviewé recommandent de : 
  • Ouvrir un VPN (virtual private network) quand on utilise son ordinateur en télétravail
  • Différencier son usage personnel de son usage professionnel en n'utilisant pas les réseaux sociaux pour transférer des fichiers par exemple
  • N'utiliser que des logiciels approuvés par l'entreprise
  • S'assurer d'avoir un antivirus à jour
  • Sauvegarder ses données
  • Se connecter à une boxe internet privée et jamais à un réseau public de wifi
  • Utiliser des mots de passe différents pour chaque site internet
Philippe Ramoul précise qu'un hacker peut attendre plusieurs années avant de dire ce qu'il possède. "Il peut installer un logiciel qui dort et se déclenchera le jour où l'entreprise entre en bourse par exemple". "Les hackers ciblent les petites entreprises qui vont grossir vite sans avoir le temps de se sécuriser. Plus une infrastructure est grosse, plus les failles possibles sont nombreuses" précise Mickael Bonnet.
 
Poursuivre votre lecture sur ces sujets
internet économie
l’actualité de votre région, dans votre boîte mail
Recevez tous les jours les principales informations de votre région, en vous inscrivant à notre newsletter