C’est probablement l’une des attaques informatiques les plus importantes à laquelle doit actuellement faire face l’administration française. Le 15 avril dernier, l’Agence nationale des titres sécurisés (ANTS), qui gère notamment les demandes de documents officiels, a été la cible d’une cyberattaque d’envergure. Au total, ce sont les données personnelles de 19 millions de Français qui seraient désormais dans la nature.
C’est ce lundi que le ministère de l’Intérieur a révélé la nature des faits qui se sont produits quelques jours auparavant. “Les investigations techniques, débutées dès la détection de l’incident, sont en cours”, pointe la Place Beauvau. “Elles sont menées par les équipes de l’ANTS et les services compétents. Elles visent à déterminer précisément l’origine de l’incident et son ampleur.” L’ANTS est l’organe français chargé de l’émission des passeports, cartes d’identité, permis de conduire et autres cartes grises. Inutile de dire qu’il s’agit d’un organe qui possède un grand nombre d’informations sensibles.
Les pirates à l’origine de l’attaque ont revendiqué sur un forum cybercriminel le vol des données. Ni l’ANTS ni le ministère n’ont tenu à confirmer la quantité exacte des données volées, mais une source proche du dossier interrogée par BFMTV évoque “un nombre important d’utilisateurs”. Ce chiffre de 19 millions proviendrait d’un forum où un certain “breach3d” a mis en vente une base de 19 millions d’enregistrements “issus des systèmes de l’ANTS”.
De nombreuses données compromises
Concrètement, le ministère de l’Intérieur parle, au conditionnel, de données sensibles sur l’utilisateur, mais rien qui soit en lien avec des informations financières. On évoque ainsi :
- Identifiant de connexions
- Civilité, nom, prénoms
- Adresse électronique
- Date de naissance
- Identifiant unique du compte
- Selon les comptes : adresse postale, lieu de naissance, numéro de téléphone
Heureusement, des données et fichiers complémentaires transmis lors des démarches, comme des attestations ou d’autres documents scannés ne seraient pas concernés par la fuite. Il est également impossible pour ceux qui possèderaient ces informations d’accéder aux comptes privés du portail de l’ANTS.
“Une faille vraiment stupide”
Mais comment une plateforme aussi sensible et importante a-t-elle pu faire l’objet d’une telle faille ? Selon Clubic, la faille exploitée est une vulnérabilité IDOR. En modifiant un simple identifiant dans une requête un pirate pouvait donc visualiser la fiche de n’importe quel citoyen. Le pire, c’est que le système ne vérifiait même pas si la personne qui tentait d’accéder à une fiche avait le droit de le faire.
N’importe qui avec quelques notions d’informatiques aurait donc pu faire ce qu’a fait le fameux “breach3d”, le pirate à l’origine de l’attaque, qui a même lâché à FrenchBreaches que “c’était une faille vraiment stupide”.
De son côté, le ministère de l’Intérieur a notifié l’incident à la commission nationale de l’informatique et des libertés conformément à l’article 33 du RGPD, et un signalement a été transmis à la Procureure de la République de Paris en vue de l’ouverture d’une enquête. L’Office anti-cybercriminalité (OFAC) a été notamment saisi des investigations.
Aucune intervention n’est attendue de la part des usagers. Nous leur recommandons cependant de faire preuve de la plus grande vigilance quant aux prochains messages suspects ou inhabituels qu’ils pourraient recevoir (SMS, appel, email, etc.) émanant en apparence de l’ANTS. – Ministère de l’Intérieur
Comment savoir si vous êtes concernés ?
Si vous avez reçu un email de France Titres, ce n’est pas encore du phishing. Ce 23 avril, un message officiel a été envoyé à toutes les victimes potentielles, conformément aux lois françaises en vigueur sur la question des données personnelles. Le message de l’ANTS est court, policé, et soigneusement calibré pour minimiser l’inquiétude. Il liste les données concernées : nom, prénom, identifiants de connexion, adresse email, et pour certains comptes, adresse postale et numéro de téléphone. Il précise en revanche que les données liées à vos démarches (photos d’identité, pièces justificatives, numéros de demande de passeport, de permis ou de carte grise) ne sont pas touchées. Une distinction importante, puisque ce sont ces documents qui permettraient une usurpation d’identité complète.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
