ChezMoa.eu

La malédiction continue pour les Français avec les cyberattaques et les fuites de données. Sur le portail officiel de l'ANTS, la plateforme en charge de la gestion des demandes, de la production et de l'acheminement des titres sécurisé (passeports, permis de conduire, cartes grises…), une erreur technique grossière, le genre qu'on n'attendrait pas d'un service public gérant des millions de documents sensibles, aurait permis à un hacker d'accéder librement aux profils de dizaines de millions de citoyens. L'agence a bien prévenu ses utilisateurs par e-mail, mais en minimisant, semble-t-il, l'étendue des dégâts. Selon Seblatombe, le fondateur du blog spécialisé FrenchBreaches, il pourrait s'agir de l'une des plus grandes fuites de données administratives jamais enregistrées en France.
 
Le piratage de l'ANTS ou comment une erreur basique tourne au désastre national
 
Le 15 avril, l'ANTS, l'Agence nationale des titres sécurisés, indique avoir pris connaissance d'un incident sur son site. Elle a envoyé un e-mail à ses utilisateurs professionnels, reconnaissant un accès non autorisé à certaines données, avant de conclure son message : « Vous n'avez ainsi aucune démarche à accomplir. » Rassurant ? Peut-être un peu trop, au regard de ce qui se tramait en parallèle.
 
Sur un forum cybercriminel, un certain « breach3d » a mis en vente une base de 18 à 19 millions d'enregistrements, présentée comme issue des systèmes de l'ANTS. Le vecteur d'attaque revendiqué est une vulnérabilité IDOR (Insecure Direct Object Reference) sur l'API du portail moncompte.ants.gouv.fr. Il suffisait de modifier un identifiant dans une requête pour consulter les données d'un autre citoyen.
 
Concrètement, le système ne vérifiait pas si la personne qui consultait une fiche avait le droit de le faire. N'importe qui pouvait donc accéder aux données d'autrui, sans la moindre barrière. Le hacker lui-même l'a résumé sans détour auprès de FrenchBreaches, « c'était une faille vraiment stupide. » Venant d'un site qui délivre permis de conduire, cartes grises et passeports, ça fait froid dans le dos.
 
Des millions de profils complets entre les mains des cybercriminels
 
Là où il faut davantage s'inquiéter avec cette fuite, ce n'est pas forcément sur le volume, mais davantage sur la richesse des informations dérobées. La base contiendrait pour chaque personne les prénom(s), nom, e-mail personnel, date et lieu de naissance, adresse postale complète, numéro de téléphone, et même la confirmation que l'identité a été vérifiée par l'État. Pas un banal fragment de données, donc, mais un portrait civil quasi exhaustif, une aubaine pour qui voudrait usurper une identité ou monter une arnaque ciblée, sans avoir à piocher dans de multiples bases de données sur les forums cybercriminels.
 
Autant vous dire qu'avec un tel jeu de données précises en leur possession, les hackers vont pouvoir envoyer des e-mails ou des SMS parfaitement crédibles en se faisant passer pour l'administration (ou d'autres), pour mener du phishing ciblé. L'ANTS elle-même le redoute et recommande dans son courrier de « redoubler de vigilance » et de « ne jamais communiquer vos informations personnelles ». L'affaire a par ailleurs été signalée à la CNIL, le gendarme français des données personnelles, et transmise au parquet de Paris en vue d'une enquête pénale, comme le veut la procédure.
 
Si la fuite est bien confirmée, l'authenticité complète de la base reste, elle, encore à confirmer. Il est néanmoins difficile pour les services publics français de continuer à ignorer leurs lacunes en matière de cybersécurité. En attendant, ce sont toujours les mêmes réflexes qu'il faut adopter, à savoir changer ses mots de passe, garder un œil sur ses comptes, et se montrer particulièrement méfiant face à tout e-mail ou SMS qui prétendrait venir de l'administration.

lien : Clubic - Par Alexandre Boero