Phreaking : 80000€ volés via le téléphone de la Mairie de Saint-Malo
Le phreaking, le piratage informatique spécialisé dans la téléphonie n’est pas une histoire des années 80 ou pour téléphoner gratuitement via une cabine téléphonique il suffisait de crier dans le combiné. La Mairie de Saint-Malo vient de perdre 80000€ après le piratage de son standard téléphonique.
Imaginez la tête du Maire et de son Directeur des Services par phreaking : « Monsieur le DGS, nous avons une facture de 80000 euros, nos budgets étant pléthorique et la baisse des dotations de l’état n’étant plus qu’un lointain souvenir, nous allons payer sans problème !« . La mairie de Saint-Malo vient de découvrir les joies du piratage téléphonique, le phreaking.
Un malveillant, via son PABX, bref son standard, a trouvé le moyen d’orchestrer des appels sur le compte de la commune bretonne. C’est le montant faramineux de la perte d’argent qui a obligé le Maire à en informer les élus leur du conseil municipal. Le piratage a eu lieu en mai 2016, durant quatre jours. L’édile et son sbire, le DGS, avaient gardé la chose secrète. Les administrés apprécieront !
Les phreakers, les pirates spécialisés dans la téléphonie, ont permis à des « boutiques » et des « clients » d’appeler en Afrique et en Amérique du Sud. Pour cela, le pirate a d’abord mis la main sur le standard, puis revendu des accès à ce dernier. Pour la prise en main d’un standard, pas bien compliqué. Il suffit souvent de quelques manipulations de touches, comme le dièse, pour arriver dans l’administration d’un standard non sécurisé.
Rencontrer LA légende du HACK et du Phreaking … lors du confessionnal @Protocole_ZATAZ #ndh2k15 @hackerzvoice pic.twitter.com/jLplDLSRZt
— ZATAZ (@zataz) June 20, 2015
La mairie a tout simplement oublié de changer le mot de passe usine, ou ne connaissait pas le mode d’emploi de son matériel.
Dans les appels d’offre, il serait bon de mettre aussi des formations à la sécurité informatique et à l’utilisation des matériels numériques mis en place. « C’est une charge que nous n’avions évidemment pas prévue, à laquelle nous allons pouvoir faire face. Exprime le 1er adjoint de Saint-Malo à l’antenne de France Bleue. Nous allons voir ce que les assurances peuvent produire comme aide, le dossier est loin d’être clos« .
Pour les pirates, la loi est claire : piratage, escroquerie, … entre 5 et 7 ans de prison et jusqu’à 350000 euros d’amende. Pour l’entreprise impactée, il est dorénavant possible de se retourner contre le prestataire de service, l’entreprise qui a pris en charge l’installation du standard. Une jurisprudence condamne les intégrateurs dans la mesure où ces derniers n’ont pas informé et formé leurs clients. Oublier de leur expliquer comment changer le mot de passe usine du standard ou oublier de mettre en place les patchs de sécurité deviennent une faute.
Un arrêt de la cour d’appel de Versailles et du tribunal de commerce de Nanterre a condamné un de ses intégrateurs pour faute par négligence. Le tribunal a obligé la société de maintenance à payer la somme volée, soit plus de 12000€ : « Il revient à l’utilisateur de gérer la sécurité de son matériel, à condition toutefois qu’il ait été informé de cette nécessité et qu’on lui ait montré comment procéder« .
En France, il se compte sur les doigts d’une main les entités territoriales avouant ce type de piratage : 5000€ pour la MJC de Nancy, 15000€ par les communes de Pessac et de Licques, 43000 pour le conseil départemental des Deux-Sèvres. Et je ne vous parle pas des standards piégés qui renvoient les administrés sur le bon service, mais le pirate s’est arrangé pour que l’appel passe par un espace surtaxé [Cas vécu par votre serviteur].
Ce qui est étonnant, c’est que l’opérateur n’est pas bloqué les appels lorsque les consommations ont commencée à exploser.
Pour avoir subi ce type d’attaque, mon opérateur avait bloqué les appels internationaux lorsque les sondes ont remarqué des anomalies (appel vers Cuba durant le weekend).
Il a fallut que je prouve la sécurisation de mon standard pour réactiver l’option.
J’avais également porté plainte pour vol d’unité téléphonique, mais le préjudice était mince, 800€, cela à était classé sans suite.