Le site web de la mairie de Toulouse a été victime de piratage au mois d'avril. Fin mai, le site internet est toujours fermé, en maintenance. Des hackeurs expliquent ce que pourrait signifier cette attaque et les précautions à prendre en cette période où beaucoup sont encore en télétravail.
Le site internet de la mairie de Toulouse est hors-service depuis le 29 avril dernier. La ville avait d'abord évoqué une "maintenance de sécurité prévue depuis longtemps" avant d'admettre avoir été victime d'une attaque malveillante. Elle a alors porté plainte. Mais depuis, www.toulouse.fr est toujours en indisponible, "en maintenance" indique la page d'accueil. Et comme une enquête est en cours, la mairie de Toulouse n'a pas souhaité s'exprimer sur le sujet.
/regions/2020/06/09/5edf9c72dbf00_capture_decran_2020-05-28_a_12.07.44-4845010.jpg)
La mairie était-elle mal préparée ?
"Une cyber attaque est faite pour récolter des données" explique un consultant en informatique toulousain. "Avec ces données on peut faire du chantage, les utiliser à l'encontre de quelqu'un... tout dépend de la nature de ces données" précise-t-il."Tous les sites peuvent être piratés" affirme Mickael Bonnet, consultant en informatique et formateur en cyber sécurité à Toulouse. "Mais normalement, des sauvegardes doivent être effectuées régulièrement pour pouvoir justement remettre son site sur pieds rapidement", précise-t-il. Pour lui, cela peut prendre du temps de remettre le site en marche si la mairie n'a pas de contrat de maintenance avec un prestataire. Autrement dit, si elle était mal préparée à cette probabilité.
Même s'il reconnait qu'il est difficile de se prononcer sans connaître les détails de l'attaque, le chercheur en cyber sécurité Baptiste Robert confirme que quelque soit sa nature, "ce temps de remise à niveau montre une attaque profonde et dévastatrice". Et s'il est si long de remettre les systèmes en marche, c'est probablement parce que "la mairie n'avait pas de plan de secours", constate l'informaticien. Et d'ajouter : "ce n'est pas facile de se remettre d’un incident, c’est un vrai métier. Mais un mois et demi ça reste long". Il conclut que cette attaque révèle l'"inexpérience" et l'"impréparation" de la mairie de Toulouse.
Le hacker pourrait vouloir des bitcoins
Les informaticiens que nous avons sollicité sont tous d'accord : le hacker pourrait réclamer ou générer des bitcoins, monnaie virtuelle. "Ce genre d'attaque peut permettre d'accéder à une base de données, la chiffrer, et demander de l'argent payé en bictoins, donc pas traçable", explique Philippe Ramoul, chercheur en cyber sécurité et géopolitique. Pour lui si le hacker peut réclamer de l'argent virtuel, il pourrait aussi avoir des motivations politiques.
Le chercheur Baptiste Robert n'est pas de cet avis. D'après lui, il ne s'agit sûrement pas d'une attaque ciblée. Il explique que si quelqu'un a attaqué le site de la mairie, c'est sûrement par hasard. En fait chaque fois qu'une faille est repérée dans un système, des méthodes de piratage ("exploits") sont diffusées sur internet en libre accès. Concrètement, Google repertorie ces exploits, indique Mickael Bonnet. Il suffit alors aux hackers de tester ces piratages sur tous les sites internet, "de manière automatique" précise Baptiste Robert. Le premier site défaillant que le pirate trouve est alors attaqué automatiquement.
En résumé le système informatique de la mairie de Toulouse devait être vulnérable, et le hacker a peut-être pu en profiter pour générer automatiquement de la cryptomonnaie comme le bitcoin par exemple. L'attaquant aurait donc généré de l'argent virtuel. Il s'agit de l'une des possibilités, "une fois à l'intérieur du système, il faut décider ce qu'on a envie de faire" explique le chercheur. Trois possibilités s'offrent au pirate, selon Baptiste Robert :
- Espionner en se faisant tout petit et rester à l’écoute pour exfiltrer des données,
- Installer un logiciel malveillant pour chiffrer les données des utilisateurs et leur réclamer des bitcoins,
- Générer de la cryptomonnaie grâce à un logiciel qui va utiliser les ressources du serveurs.
Les raisons d'une cyber attaque sont multiples et les intentions d'un hacker sont aussi diverses que son imagination. Concernant le site internet de la mairie de Toulouse aucune certitude pour le moment. L'opération de maintenance et l'enquête sont toujours en cours.Chaque entreprise, individu, ou mairie doit se préparer au risque. C'est une réelle menace pour l'activité directe d’une entreprise. Tout le monde devrait se poser ces questions : que fais-je en premier si demain je me fais attaquer ? Comment je réagis ? Comment je remets en place le système ?
Comment se protéger des hackers ?
Le contexte de télétravail accru engendré par le crise sanitaire liée au coronavirus peut apparaître pour des pirates malveillants comme une porte ouverte à un grand nombre d'entreprises. Il faut savoir que c'est à l'entreprise de mettre en place un système sécurisé et de justement se préparer à l'éventualité d'une cyber attaque "mais c'est un jeu qui se joue à deux" tient à préciser Baptiste Robert. Et tout est attaquable. A titre préventif, les chercheurs que nous avons interviewé recommandent de :- Ouvrir un VPN (virtual private network) quand on utilise son ordinateur en télétravail
- Différencier son usage personnel de son usage professionnel en n'utilisant pas les réseaux sociaux pour transférer des fichiers par exemple
- N'utiliser que des logiciels approuvés par l'entreprise
- S'assurer d'avoir un antivirus à jour
- Sauvegarder ses données
- Se connecter à une boxe internet privée et jamais à un réseau public de wifi
- Utiliser des mots de passe différents pour chaque site internet
