Auditionné par le Sénat, Laurent Nuñez a levé le voile sur les mécanismes précis de la cyberattaque qui a frappé son ministère. Il a ainsi détaillé la chronologie des faits, l’origine de la compromission ainsi que l’ampleur de l’exfiltration des données.
Lors de son audition devant le Sénat, le ministre de l’Intérieur Laurent Nuñez a livré un récit très détaillé de la cyberattaque ayant touché son ministère. Il a d’emblée précisé qu’une partie des informations relatives à cet incident restait couverte par le secret des systèmes d’information et par une enquête judiciaire en cours.
Laurent Nuñez a ainsi rappelé la chronologie des faits : l’alerte a été donnée le 25 novembre dernier lorsque la Direction générale de la police nationale a constaté que “des mots de passe de plusieurs boîtes mail avaient été modifiés”. Les investigations ont finalement montré que seules des messageries de la police nationale étaient concernées.
Un défaut d’hygiène numérique
Dans le détail, le hacker a pris le contrôle de ces boîtes mail, à partir desquelles il a mené des recherches en tapant des mots-clés liés à des secrets, des noms d’applications et des mots de passe. Ce qui a été rendu possible par un “défaut d’hygiène numérique” : des agents s’échangeaient des identifiants d’accès via leur messagerie.
Grâce à ces accès, le cybercriminel a pu se connecter à un portail regroupant environ 150 applications de police, parmi lesquelles 7 ont été consultées, dont le TAJ (traitement des antécédents judiciaires), le FPR (fichier des personnes recherchées) et les fiches Interpol. Il s’agit de bases de données contenant des informations particulièrement sensibles.
Sur le TAJ, qui contient environ 19 millions de fiches, 72 fiches individuelles ont été exfiltrées. Le pirate a également extrait “plusieurs dizaines de milliers de lignes”, c’est-à-dire des entrées de type sommaire comprenant nom, état civil et informations de base, sans le motif d’inscription. Sur le FPR, 23 fiches ont été extraites ainsi qu’environ 3000 éléments de sommaire. Sur les fichiers Interpol, 10 fiches ont été consultées et une seule a été exfiltrée.
Les données n’ont ni été modifiées, ni détruites
Le ministre a insisté sur un point : il n’y a eu “ni modification, ni destruction” de données. En effet, l’attaquant n’est pas intervenu activement sur les fichiers et aucune procédure en cours n’a été compromise. Autrement dit, l’objectif principal du hacker était l’exfiltration de données, à des fins de revente.
Un homme de 22 ans a été interpellé. Il est déjà connu pour des faits de swatting (un faux appel téléphonique anonyme ayant pour but de nuire) et de détournement de lignes téléphoniques.
L’intrusion avait par ailleurs été revendiquée sur un forum de revente de données par un groupe se présentant comme les « Shiny Hunters »possiblement en représailles à une opération policière antérieure.
Depuis la mi-décembre, il n’y a “plus de traces actives d’attaque”. La dernière trace d’intrusion remonte au 16 décembre et l’interpellation a eu lieu le 17.
Imposer la double authentification à tous les agents
Le ministre raconte qu’une série de mesures de remédiation a été rapidement prise. Tous les mots de passe des comptes de messagerie ont été réinitialisés. Environ un millier de comptes obsolètes ont été supprimés. Les équipes ont procédé à un “criblage et rétro-criblage” complet pour retracer tous les déplacements de l’attaquant dans le système, ce qui a permis d’identifier précisément les sept applications consultées ainsi que des passages sur deux autres portails, sans action avérée.
En parallèle, une double authentification a été imposée immédiatement sur toutes les applications du portail compromis. Elle sera progressivement généralisée à l’ensemble des systèmes du ministère.
Le ministre reconnaît que cette évolution est lourde pour les agents, dans un ministère qui compte environ 300 000 utilisateurs et plusieurs centaines, voire un millier, de systèmes d’information. Mais il assume : “on ne peut pas passer d’un coup de baguette magique” d’un simple mot de passe à une authentification forte sans perturber profondément l’organisation.
