Piratage informatique : les institutions publiques dans le viseur des hackers
Ces derniers mois ont vu le piratage d’institutions publiques se multiplier. Entre autres, ceux de l’EMS de Vessy et de la commune de Rolle ont fait grand bruit. Et généré un vent de panique dans les établissements de santé similaires ou dans d’autres communes. Car les pirates risquent de ne pas en rester là. Et voici pourquoi.
Nombreuses sont les institutions publiques à avoir fait les frais du piratage informatique cette année. Au-delà des exemples mentionnés plus haut, citons aussi le gymnase intercantonal de La Broye. Et ceci malgré les avertissements répétés de la Confédération au travers du Centre National de Cyber-Sécurité (NCSC) pour inciter les organisations de toutes tailles à se protéger. Mais pourquoi les organismes publics semblent plus exposés ?
On peut tout d’abord y voir une certaine naïveté, doublée d’un sentiment de protection naturelle. En effet, de par leur nature, les services publics n’ont pas vocation à avoir une activité lucrative. Il n’y a donc pas réellement de manque à gagner en cas d’interruption informatique, même si l’usage des deniers publics n’est alors pas optimal. Les moyens de pression sont donc moindres. Et ces organismes se sentent, au plus, à l’abri, et en tout cas, pas naturellement dans le radar des hackers de tout poil.
L’exposition publique, nouveau levier du piratage informatique
C’était sans compter sur le changement de stratégie de ces derniers. Alors qu’il y a encore peu, le chantage portait sur la restitution des données, et le manque à gagner qui résultait de leur indisponibilité, il est maintenant coutumier qu’il se base sur l’exposition des données sur le DarkNet. Et pour une institution publique, cela change évidemment la donne. Non seulement parce qu’elles peuvent avoir à stocker et manipuler des données sensibles et/ou personnelles. Mais aussi parce qu’elles sont comptables de la protection de celles-ci.
Les institutions publiques manipulent des données qui peuvent s’avérer plus sensibles que celles d’une entreprise
En filigrane, c’est la pression publique que les pirates souhaitent utiliser comme levier pour arriver à leurs fins. Dans le cas de la commune de Rolle, les données dérobées ont été récupérées grâce à des sauvegardes récentes. Mais l’incident ne s’est pas arrêté là, puisque ces mêmes données ont été mise en vente sur le DarkNet. C’est d’ailleurs par ce biais que l’ampleur de la fuite a été découverte. Les pirates jouent donc en parallèle sur deux des caractéristiques de la sécurité informatique : l’intégrité des données, et leur confidentialité.
Ce chantage à la fuite des données est fatalement devenu prédominant ces derniers mois. Et il est « bien » adapté à l’attaque d’institutions publiques. Si la divulgation des salaires d’une entreprise n’est certes pas un événement très réjouissant, il n’affecte finalement que celle-ci. Dans le cas d’une commune ou d’un établissement d’enseignement, ce sont les données d’autrui qui sont exposées, avec des conséquences désastreuses dont l’étendue peut s’avérer immense.
Changer de stratégie pour parer les nouvelles attaques
A terme, c’est la stratégie de protection des données qui doit donc être revue. Car le seul maintien de leur intégrité ne suffit plus. Il est nécessaire de travailler en amont pour garantir leur confidentialité. Et même si le risque zéro ne peut évidemment pas être garanti, les moyens existent désormais pour assurer un niveau de protection décent sans mettre les budgets dans le rouge. L’important étant de rester au-dessus de la mêlée, et donc de la moyenne. Car ce sont naturellement les infrastructures les plus faibles qui seront visées en premier.
La sécurisation des accès aux données semble être la première pierre de l’édifice. La généralisation de MFA – Multi Factor Authentication – constitue une réponse devenue maintenant classique. Pour rappel, ce deuxième facteur d’authentification permet de se prémunir de la perte ou du vol d’un mot de passe. Si cette technique est maintenant généralisée sur les services Cloud classiques, elle tarde encore à s’imposer dans le monde des petites organisations, car elle requiert soit des moyens importants, soit de transférer ses services dans le Cloud justement. Ce que les institutions publiques peuvent encore avoir de la peine à accepter.
Externaliser ses données peut donner un sentiment de moindre protection contre lequel les institutions publiques doivent lutter
Autre point à considérer : l’accès au réseau où se trouvent les données. Le NCSC conseille à ce titre de renforcer l’accès à distance par réseau privé virtuel (VPN, Virtual Private Network) et de protéger les accès à des bureaux distants (notamment via le protocole RDP, Remote Desktop Protocol, de Microsoft). Comme nous l’avions expliqué il y a quelques mois, la pandémie de Covid-19 a amené les petites organisations à s’adapter, notamment pour faire face au besoin de travail à distance. Et ce sont ces deux technologies qui ont été sollicitées pour y arriver. Avec parfois des trous dans la raquette, que les pirates informatiques exploitent sans hésiter.
Les cyber-attaques de des derniers mois montrent donc que les hackers n’hésitent maintenant plus à s’attaquer à des organisations qui se croyaient protégées. Car la nature même de leurs cibles vont rendre ces attaques d’autant plus efficaces. Si les moyens de protection existent, leur mise en œuvre est, parfois, encore balbutiante. Ce qui laisse le champ libre, probablement pour quelques temps encore, à de nouvelles menaces. Et des gros titres dans la presse.
Emmanuel Dardaine