Le ministre de l’Intérieur qualifie la violation de données d’« inédite » pour la France
Des dossiers policiers importants ont été récemment consultés par des hackers, a confirmé le ministère de l’Intérieur français.
La portée complète de la violation des données n’est pas encore connue, mais le ministre de l’Intérieur, Laurent Nuñez, a déclaré qu’elle concerne principalement des dossiers figurant sur la liste des personnes recherchées en France et des registres de traitement pénal.
Il a qualifié la violation d« sans précédent pour la France ».
Les pirates avaient accès au portail dit CHEOPS, qui gère des dossiers policiers classifiés, pendant plusieurs semaines avant que la violation ne soit identifiée.
Des informations sur environ 16,4 millions de personnes se trouveraient dans les dossiers. Des comptes de courrier électronique et les coordonnées des enquêteurs de police traitant des affaires pourraient avoir été consultés.
Le ministère de l’Intérieur est responsable de l’émission de documents officiels, notamment les cartes de séjour et les passeports, mais il n’y a aucune indication que des dossiers relatifs à ces documents aient été consultés.
La violation « n’expose pas les vies des personnes en France », a déclaré M. Nuñez à des médias de service public, Franceinfo.
Données sensibles partagées via des applications de messagerie
Il s’agit de la dernière d’une série d’attaques visant des institutions publiques en France notamment l’organisme chargé des cotisations sociales URSSAF.
Le ministère a été informé d’une activité « suspecte » sur ses serveurs, a indiqué le ministre, ce qui a entraîné des mesures de sécurité renforcées – mais celles-ci sont arrivées trop tard.
Il a pointé du doigt certains employés pour de « l’imprudence », affirmant que des mots de passe et des données sensibles avaient été partagés via des applications de messagerie – ces informations ayant ensuite été utilisées pour infiltrer le portail.
Un site de piratage nommé « BreachForums » a revendiqué l’attaque et menacé de diffuser les fichiers si le ministère n’acceptait pas ses exigences dans les 48 heures (on ignore quelles étaient ces exigences, mais il n’y aurait apparemment aucune demande d’argent).
Après le délai, les informations ont été mises en vente sur le dark web, le site affichant un message sur sa page d’accueil disant « Now you will pay for what you did to our friends. »
Un homme de 22 ans originaire de Limoges (Haute-Vienne) a été arrêté pour cette violation. L’homme, qui vit chez sa mère, est connu de la police et avait déjà été condamné pour une infraction similaire.
La Commission nationale de l’informatique et des libertés (CNIL) a été informée de la violation, comme l’exige ce type d’attaques.
