Un cauchemar, comme la police elle-même le qualifie : les noms, adresses e-mail et fonctions des 62 000 policiers ont été volés par un pirate informatique cette semaine. Pour l’instant, il semble qu’aucune donnée privée ou de recherche n’ait été divulguée. Mais comment des pirates malveillants ont-ils pu pénétrer dans une organisation comme la police ? Et à quel point est-ce grave ?
On ne sait pas exactement comment les pirates sont entrés. Dave Maasland, directeur de la société de sécurité ESET, estime que l’accès a pu être fourni via le compte d’un employé ayant répondu à un e-mail de phishing. Ce n’est pas sûr. Selon lui, il pourrait également s’agir d’un hacker intelligent, résidant ou non aux Pays-Bas. « Il se peut même qu’il y ait des gouvernements étrangers derrière cela. »
La police est-elle aussi percée qu’un panier ? Je ne dirais pas cela, dit Maasland. « Mais la cybersécurité pour une organisation comme la police est complexe. Ils doivent se protéger contre les adolescents qui s’ennuient, contre le crime organisé et contre les hacks étrangers, qui font souvent appel à une grande expertise. On peut en conclure qu’ils doivent mieux se protéger.
Liste de contacts
La police partage si peu d’informations sur le piratage qu’il est difficile d’en évaluer la gravité, explique l’expert en cybersécurité Rickey Gevers. Sur la base des informations actuellement connues, il apparaît qu’un compromission de la messagerie professionnelle (BEC) très probablement, pense-t-il. Il s’agit d’une forme de cybercriminalité dans laquelle un pirate informatique malveillant pénètre dans une boîte aux lettres et télécharge la liste de contacts. Le but est de produire des emails de phishing convaincants ou d’envoyer de fausses factures difficiles à distinguer des vraies.
Une attaque BEC se produit très souvent, explique Gevers. Sa société Responders assiste les entreprises devenues la cible d’un piratage. Cela implique souvent une attaque BEC. Des chiffres précis ne sont pas disponibles car toutes les entreprises ne révèlent pas qu’elles sont devenues des victimes. Il est assez facile pour les cyberexperts de déterminer s’il s’agit d’une attaque BEC ou d’une attaque visant spécifiquement une entreprise spécifique, en l’occurrence la police, explique Gevers.
Stagiaire chez le marchand de légumes
Une bonne cybersécurité est importante pour tout le monde, mais elle est encore plus importante pour certaines organisations, explique Maasland. « Si vous êtes une petite PME, vous devez organiser la sécurité différemment d’un cabinet d’avocats. Chez un marchand de légumes, ce n’est pas si mal si le stagiaire peut accéder à toutes les adresses. Il ne serait peut-être pas utile pour un grand cabinet d’avocats que chaque stagiaire puisse télécharger toutes les données d’adresse.
Il est important de veiller à ce qu’ils n’aillent pas plus loin. Donc pas dans le salon. Pas dans la chambre. Et certainement pas près du coffre-fort
Au sein de telles organisations, les experts en sécurité doivent agir comme s’ils avaient été piratés, explique Maasland. «Ils doivent travailler chaque jour pour détecter les piratages et éteindre les incendies numériques.» Entrer n’est jamais un problème pour un hacker, explique-t-il. Tout comme pour un vol normal, vous pouvez le faire si vous le souhaitez vraiment. Ils forcent une porte ou brisent une vitre. Par exemple, un pirate informatique peut pénétrer relativement facilement dans le service administratif où les employés sont constamment occupés à ouvrir les pièces jointes des e-mails. Maasland : « Il est important de veiller à ce qu’ils n’aillent pas plus loin. Donc pas dans le salon. Pas dans la chambre. Et certainement pas à proximité du coffre-fort.
Une attaque pire que l’autre
Gevers estime que la police devrait être aussi claire que possible sur ce qui s’est passé. « Une attaque BEC est très ennuyeuse mais moins grave que de nombreuses autres cyberattaques. Cela peut donc déjà éliminer beaucoup d’anxiété. Maasland souligne également l’importance de fournir la meilleure information possible. « Les agents veulent désormais surtout savoir : qui, quoi et pourquoi. Ils doivent être et rester bien informés, notamment les équipes sensibles. Cela ne s’arrêtera pas de sitôt. Parce que les données peuvent apparaître sur Internet. Surtout si elles sont combinées avec des données provenant d’autres piratages, il est possible d’obtenir une image plus complète, dangereuse pour les policiers individuels. Ensuite, d’autres mesures doivent être prises.
L’attaque montre que la police peut aussi être des victimes, explique Rejo Zenger, conseiller politique chez Bits of Freedom. Selon lui, cela signifie que la police doit être prudente avec les données des citoyens et ne pas stocker plus que ce qui est strictement nécessaire. « Car désormais, ce sont les données des policiers qui ont fuité. Cela devient encore plus ennuyeux lorsque des informations sur des suspects, des témoins oculaires ou des victimes circulent dans la rue.»
Il n’existe pas de sécurité à 100 %, dit également Zenger. En tant que pays, nous devons investir dans le renforcement d’une infrastructure numérique sécurisée. Cela n’arrive pas toujours, dit-il, et il évoque une proposition européenne visant à lutter contre les abus sexuels numériques sur les enfants et les jeunes. « En soi, c’est une noble entreprise », déclare Zenger. Mais cela consiste en partie à affaiblir le cryptage des données numériques en créant une porte dérobée. Cela permet de détecter les photos criminelles, mais cela présente un risque majeur. Cela affaiblit le système. « Ce piratage policier montre à quel point les infrastructures sont fragiles. Nous ne devrions certainement pas prendre de mesures qui affaibliraient cette infrastructure.»