Selon la mairie d’Anvers, les données volées par les hackers n’ont causé aucun préjudice sérieux aux citoyens. Il s’agirait principalement de données administratives. Les experts ont leurs réserves sur cette explication.
« D’après ce que les experts ont pu déterminer à ce jour, il n’y a actuellement aucune indication que des données personnelles ont été volées qui pourraient gravement nuire à des particuliers. » C’est ce qu’a déclaré lundi matin le bourgmestre d’Anvers Bart De Wever (N-VA) lors d’une conférence de presse à propos de l’attaque du collectif de hackers Play.
Lundi était donc Deadline Day, le jour où la ville a dû payer une rançon en échange des données que le collectif de hackers avait capturées il y a environ deux semaines. De Wever a réaffirmé ce qu’il avait déjà déclaré : que la ville n’a payé aucune rançon et n’a pas négocié avec le collectif de hackers. La ville elle-même n’a pas expliqué pourquoi Anvers n’est plus répertoriée sur le site Web de Play.
C’est une histoire que Pieterjan Van Leemputten, journaliste informatique chez Nouvelles des donnéesmais difficile à croire. « Je trouverais cela très étrange », dit-il. « Si tout ce que dit la ville est correct, nous assistons à un miracle de Noël. Alors qu’est-ce que je pense qu’il s’est passé ? C’est de la pure spéculation. Peut-être qu’une autre partie ou entreprise a payé au nom de la ville et sera-t-elle remboursée par la suite ? Je ne sais pas. »
Suivez les miettes
La ville a cependant fourni des explications supplémentaires sur ce qui s’était passé. L’assaut ouvert de Play contre les services municipaux a commencé le 6 décembre. « Nous avons découvert grâce à une enquête médico-légale que les pirates étaient dans les systèmes de la ville depuis le 24 novembre », a déclaré Youri Segers, directeur numérique et PDG de Digipolis. Segers ne pouvait pas ou ne voulait pas dire comment Play avait eu accès aux systèmes de la ville.
Lorsque l’attaque a été révélée, la ville est rapidement entrée dans un verrouillage numérique. En conséquence, de nombreux services municipaux ont été indisponibles pendant un certain temps. C’est encore le cas pour certains services. Il y a une bonne raison à ce redémarrage lent : la ville ne veut pas redémarrer les systèmes tant qu’elle n’est pas sûre que le risque d’une nouvelle attaque n’est pas trop grand. Cela peut prendre jusqu’à fin janvier avant que tous les services ne fonctionnent à nouveau. En attendant, la ville construit également une nouvelle infrastructure numérique avec une meilleure sécurité.
Presque immédiatement après l’attaque, Anvers elle-même s’est également mise à la recherche des données que les pirates ont réussi à voler. Pour ce faire, elle a suivi les traces laissées par Play et vérifié elle-même les données les plus sensibles. « Si nous rassemblons toutes les miettes que nous avons trouvées, nous nous retrouvons avec un ensemble de données qui est à peu près de la taille de ce que les criminels eux-mêmes sur le dark web prétendent avoir capturé », déclare Bart Bruelemans, Chief Resilience Officer.
Pour autant qu’Anvers puisse le déterminer, ce sont principalement des données administratives auxquelles les pirates ont pu accéder. Cela concerne les données du personnel, les e-mails, les plans de construction, les dossiers d’assurance ou les données comptables. Bien que la ville soit durement touchée. « Ces groupes se spécialisent dans le fait de rester sous le radar », explique Segers.
« Dans quelle mesure peuvent-ils retracer exactement ce qui a été volé ? Telle est et reste la question », déclare le professeur de sécurité informatique Bart Preneel (KU Leuven). « Si les hackers ont effacé des traces, la ville ne le sait pas. C’est pourquoi le libellé de la ville est si prudent. Elle ne peut pas maintenant dire avec une certitude absolue quelles informations ont été divulguées. Un message de ‘nous pouvons dormir profondément’ ne serait pas approprié ici.
Information sensible
D’autre part, selon Preneel, il est possible que les pirates ne recherchent pas spécifiquement des informations sensibles, mais essaient simplement d’en obtenir le plus possible. « Ces hackers ne sont pas des Flamands », dit-il. « Peut-être qu’ils ne savent pas quoi chercher. Par exemple, il se peut qu’ils aient touché des systèmes moins sensibles. Bien que les données personnelles ou les applications de construction puissent également contenir des informations sensibles.
C’est ce qui dérange l’informaticien Jeroen Baert à propos de la communication de la ville d’Anvers. « Il semble qu’Anvers se trompe en estimant les problèmes que même des données secondaires telles qu’une adresse e-mail, un nom ou une heure de réunion peuvent causer pour Hameçonnage. Supposons maintenant qu’un pirate informatique sache quand nous avons convenu. Si ce pirate informatique vous envoie un e-mail en mon nom vous demandant si vous pouvez « vérifier ce document après notre réunion de la semaine dernière », vous supposez rapidement que seul le vrai Jeroen Baert peut savoir qu’il existe un accord par lequel vous ouvrez ce document. Il se peut que tout cela fasse partie d’une stratégie de communication pour en dire le moins possible, mais le fait que la possibilité que beaucoup de données sensibles aient été divulguées ne soit pas prise en compte, ne m’inspire pas confiance.
Peut-être la ville d’Anvers ne montre-t-elle pas le dos de sa langue. Bien que tous les experts ne sachent que trop pourquoi c’est le cas. « Je comprendrais cela », dit Van Leemputten. « En tant que journaliste, je préfère voir toutes les informations sur la table. Mais en ce qui concerne les ransomwares, je sais que les entreprises et les gouvernements ne peuvent pas tout partager. Vous ne voulez pas donner aux criminels le signal que vous êtes prêt à payer une rançon, par exemple.
La ville d’Anvers contribuerait également indirectement à d’autres attaques contre d’autres cibles. Ce risque ne peut être sous-estimé. L’enquête de la ville a montré que d’autres villes telles que Louvain, Hasselt et Genk pourraient également être à risque. L’Association flamande des villes et communes (VVSG) a confirmé à l’agence de presse Belga qu’elle prenait des mesures.