Deface – Nouvelle vague de piratages de Mairies Françaises
Deface – Des dizaines de Mairies Françaises de nouveau visées par des pirates informatiques. Les communes sont restées muettes sur le sujet.
Je vous racontais, il y a quelques mois, les mésaventures vécues par des dizaines de mairies Françaises visées par des pirates informatiques. Des attaques sous la forme de deface (Barbouillage – remplacer ou rajouter une page, une image, un texte dans un site). Des attaques restées « secrètes » aux yeux des administrés. Personne n’a jamais su si des données privées et sensibles (mails, données des habitants, …) avaient été collectées lors de ces attaques. Nous aurions pu penser, aussi, que les Directeurs des Services (DGS) et autres services des Ressources Humaines territoriales avaient profité des formations proposées par l’ANSSI. Des rendez-vous orchestrés pour les fonctionnaires territoriaux désireux de s’informer. A première vue, le « Cela n’arrive qu’aux autres » semble être incrusté dans les esprits. Pour preuve, les attaques ayant visé des dizaines de mairies, en cette période estivale.
Deface – Tunisien, Albanais, Algérien, Indonésien…
Depuis quelques jours, plusieurs pirates informatiques venus des quatre coins du globe se sont attaqués aux sites Internet de communes Françaises. Des Communautés de Communes (Canton Ossun, Lunevillois …) ont aussi été visées. Les motifs sont aussi variés que futiles. La grande majorité de ces pirates ont entendu parler de la France en raison de l’Euro 2016. Le plus inquiétant dans cette histoire : le silence total des municipalités. Le pirate du site de la Ville de Béthune a-t-il mis la main sur des données sensibles ?
Celui de Sedan, Briançon, Sainte-Maxime a-t-il sauvegardé une porte cachée (Shell, Backdoor) dans les serveurs ? Les courriers que j’ai envoyé afin d’avoir une réponse à ces questions ne sont jamais revenus. L’ANSSI et la CNIL ont été saisies du sujet. Espérons qu’il ne s’agissait que de « simples » barbouillages de sites web. Mon expérience sur le sujet (30 ans) me laisse malheureusement penser le contraire. Les pirates ne se contentent plus, aujourd’hui, que d’une simple odeur numérique sur un mur 2.0.
Les villes touchées ces derniers jours par un deface
D’abord, le pirate Tunisien HUNT3RXM, membre de la team Fallaga, s’est affiché sur les sites des villes de Morez et Mezy. Un exemple de son passage se trouve en ce moment sur un site d’Aviron (avec musique irlandaise !). Deux autres Tunisiens, M.R ZAHER et Dark Shadow, ont laissé leurs « traces » sur l’Internet des Villes de Gueret et Bazas.
Ensuite, le pirate Algérien MCA-CRB a caché son message dans un dossier de l’espace territorial de Bagnere-de-Bigorre.
L’Indonésien Walkers404 affiche ses étoiles sur le web de la commune de Mezeray. On le retrouve aussi dans les pages de la Roche fort du Gard.
L’Albanais Nofawkx, qui semble converser avec des « piratins » Francophones s’est payé les sites des villes de Béthune, Du Pré Saint-Gervais, Bellerive-sur-allier, Rixheim, Sedan, Briançon, Montataire, Sainte-Maxime et Badonviller.
Enfin, l’Iranien aHor4 s’est épanché sur les Mairies de Bonson et Varengeville-sur-mer. Il aime laisser sa page Security.html dans les serveurs infiltrés. Il annonce être contre Daesh.
Par ailleurs, cette liste est loin d’être exhaustive. Partant de ce fait, il est difficile de connaître l’ensemble des sites victimes. Le Cache de Google et d’autres sources (Iran Cyber, Zone H, defaceX, Twitter, Facebook…) n’affichent pas l’intégralité des passages malveillants. Le point commun de ces tagueurs numériques est l’envie de s’afficher sur le site des autres. Ils exploitent des failles connues, sur des serveurs, CMS non mis à jour. Certains de ces pirates se retrouvent aussi dans le blackmarket. Dans des boutiques numériques qui permettent de vendre et acheter des bases de données piratées.
Mise à jour : La ville de Béthune m’a répondu, sur Twitter. Du moins, la commune a confirmé le piratage. Elle n’a pas communiqué sur les potentielles données que le pirate a pu manipuler.
le problème a été résolu par notre prestataire.
— Béthune (@VilleBethune) July 27, 2016
J’ose imaginer (et mon petit doigt me dit que ce n’est pas vraiment de l’imagination…) que l’hébergement du site web d’une collectivité est indépendant du réseau interne de cette dernière (reverse proxy à minima)…
Pour la com, ça c’est sûr que faut pas en parler (puisqu’on est persuadé que ça n’arrive qu’aux autres…)
Bruno