ZATAZ » Systèmes d’alerte US perturbés après une attaque CodeRED

Une cyberattaque a forcé plus d’une dizaine d’États américains à interrompre leurs alertes d’urgence via CodeRED. Les collectivités ont basculé vers d’autres canaux, pendant qu’une fuite de données utilisateurs se confirme.

Crisis24 a confirmé qu’OnSolve CodeRED, plateforme d’alerte de masse utilisée par des administrations d’État et locales, ainsi que par la police et les pompiers, a été victime d’une cyberattaque. L’entreprise a fermé l’ancien environnement CodeRED, ce qui a paralysé des systèmes d’alerte d’urgence dans plus de dix États et imposé des solutions de remplacement, dont les réseaux sociaux et le dispositif fédéral IPAWS géré par la FEMA. Crisis24 affirme que l’incident est resté cantonné à CodeRED, sans impact sur ses autres systèmes, mais reconnaît un vol de données : noms, adresses, e-mails, numéros de téléphone et mots de passe de profils.

CodeRED à l’arrêt, les alertes d’urgence basculent ailleurs

La plateforme OnSolve CodeRED sert d’outil de notification d’urgence pour de nombreuses entités publiques américaines. Les administrations d’État et locales, mais aussi des services de police et d’incendie, s’appuient sur ce service pour diffuser des alertes aux résidents, qu’il s’agisse d’avertissements météo ou d’autres messages sensibles. Après une cyberattaque, Crisis24 a indiqué avoir dû arrêter son ancien environnement CodeRED, provoquant des perturbations significatives pour les organisations dépendantes de ce canal.

L’effet a été immédiat sur le terrain : les systèmes d’alerte d’urgence de plus de dix États ont suspendu leur service sur CodeRED et ont dû adopter des méthodes alternatives pour continuer à prévenir la population. Plusieurs collectivités ont communiqué publiquement sur l’interruption, et des organismes locaux ont décrit une dégradation du service apparue autour du 10 novembre. Dans certains cas, la relation contractuelle a aussi été touchée, certains comtés expliquant avoir mis fin à leur contrat après l’incident.

Crisis24 a, de son côté, diffusé un communiqué et une FAQ à destination des clients concernés. L’entreprise y affirme que l’enquête a établi que l’attaque s’est limitée à l’environnement CodeRED. Selon cette version, les autres systèmes de Crisis24 n’auraient pas été affectés. Même circonscrit, l’événement pose une question de résilience : lorsque l’outil principal de diffusion d’alertes tombe, la continuité repose sur la capacité des collectivités à basculer vite, sans perte de portée ni de confiance.

Fuite de données et consignes aux résidents

Au-delà de l’indisponibilité, Crisis24 confirme un vol de données au sein de CodeRED. Les informations exfiltrées concernent les profils utilisateurs, avec des éléments d’identité et de contact : nom, adresse, adresse électronique, numéro de téléphone, ainsi que le mot de passe associé au compte CodeRED. Ce dernier point est particulièrement sensible, car il ouvre la voie à des tentatives de réutilisation d’identifiants, surtout si un même mot de passe a servi ailleurs.

Dans la foulée, des municipalités de plusieurs États ont publié des avertissements demandant aux résidents de modifier le mot de passe utilisé lors de l’inscription aux alertes. Les États cités incluent le Colorado, le Montana, l’Ohio, la Géorgie, le Nouveau-Mexique, l’Illinois, le Missouri, le Texas, la Virginie, la Californie et le Massachusetts. Le message est double : limiter le risque lié au compte CodeRED et réduire les effets en cascade sur d’autres services personnels, si une réutilisation existe.

Pendant l’interruption, certaines autorités locales ont choisi des canaux de substitution. Plusieurs comtés ont indiqué s’appuyer sur les réseaux sociaux, tandis que d’autres se sont tournés vers l’Integrated Public Alert and Warning System, IPAWS, un système fédéral de diffusion d’alertes géré par la FEMA. Ce dispositif est mobilisé pour des catastrophes naturelles, des menaces à la sécurité publique et d’autres situations d’urgence, avec des notifications généralement envoyées sur téléphone المحمول. L’épisode illustre un point opérationnel : la redondance ne se limite pas à avoir un “plan B”, elle suppose aussi que les citoyens identifient immédiatement le canal de repli comme légitime.

Le bureau du shérif du comté de Jackson, dans l’Illinois, a notamment publié sur Facebook une lettre transmise par Crisis24, rappelant aux résidents que le système d’alerte de masse ne fonctionnait plus correctement. Ce type de relais local sert à maintenir un lien de confiance, mais il peut aussi créer une surface de confusion, car les réseaux sociaux sont eux-mêmes un terrain privilégié pour l’usurpation et la désinformation.

Revendiquer, fuiter, vendre : la pression du rançongiciel

Le groupe de rançongiciel INC a revendiqué l’attaque. D’après les éléments rapportés, un site spécialisé dans les fuites de données a ouvert une page dédiée à OnSolve et a diffusé des captures d’écran présentées comme des données de clients, avec des adresses e-mail et, point critique, des mots de passe affichés en clair. Ces affirmations proviennent du groupe lui-même et s’inscrivent dans une stratégie classique de pression : prouver l’accès, exposer un échantillon, puis monétiser.

INC Ransom affirme avoir pénétré l’environnement OnSolve le 1er novembre 2025, puis avoir chiffré des fichiers le 10 novembre. Faute de paiement de rançon, les attaquants disent désormais vendre les données dérobées. Le groupe est présenté comme un service de ransomware as a service, RaaS, lancé en juillet 2023. Depuis, il aurait frappé des organisations de secteurs variés, de l’éducation et de la santé à des agences gouvernementales, avec des victimes citées comme Yamaha Motors aux Philippines, le National Health Service d’Écosse, Royal Ahold Delhaize et Xerox Business Solutions.