La cyberattaque de Rolle expose les lacunes des communes suisses

Le cyberpiratage de l’administration communale de Rolle (VD) survenu le 30 mai dernier a eu l’effet d’une bombe. Sans difficulté, un spécialiste en informatique raconte avoir découvert des informations sensibles sur plus de 5000 habitants: adresses, numéros de téléphone, de contribuables et AVS ou encore dates d’établissement dans la commune. Des informations sur des accords fiscaux avec une multinationale sont aussi répertoriés ainsi qu’un litige entre la commune et une régie immobilière. Sans céder à la demande de rançon des cybercriminels, les systèmes informatiques ont été sécurisés en l’espace de deux semaines.

Entre sous-estimation de la gravité de l’attaque et manque de transparence envers les concernés, la commune de Rolle reconnaît une certaine naïveté, indique Le Temps.

Dominique Vidal, fondateur de SecuLabs, Société Suisse de sécurité informatique, nous livre une analyse de la situation.

Bilan: De quoi l'administration de Rolle a-t-elle été victime ?

Dominique Vidal: Le piratage de la Commune de Rolle met en œuvre une stratégie d'extorsion très communément utilisée par les cybercriminels qui consiste à voler des données puis menacer leur propriétaire de divulgation si une rançon n'est pas promptement payée. Les risques d'image et réglementaires liés à la protection des données sont les préoccupations majeures des administrations qui ont à cœur de mériter la confiance des citoyens pour assurer la sécurité des informations qui leur incombent. C'est ce qui explique l'exposition très particulière des communes au chantage aux données.

Pourquoi les données des citoyens sont-elles aussi des mines d’or pour les hackers?

Ce ne sont pas réellement les données des citoyens qui intéressent les cybercriminels mais plutôt l'opportunité de réclamer des rançons extrêmement élevées en exploitant les dégâts d'image potentiels. Les hackers sont partisans du moindre effort. Le paiement des rançons à l'aide de cryptomonnaies leur permet via des services de "mixing" de blanchir ces sommes qui peuvent alors être utilisées sans risque.

Il n’empêche que ces données ont été publiées sur le darknet. En quoi les administrés s’exposent-ils?

Cela dépend très fortement des catégories de données qui ont été subtilisées. Le cas le plus grave auquel ils peuvent faire face est l'usurpation d'identité. Des cybercriminels se font passer pour eux pour souscrire des prêts ou acheter des équipements à leur détriment. Dans certains cas, les données volées peuvent aider les cybercriminels à prendre le contrôle de l'adresse mail privée de la victime sachant que ce mail est utilisé pour réinitialiser les mots de passe de la plupart des services souscrits sur Internet: Amazon, Ebay, etc. L'impact est alors la possibilité pour les cybercriminels de commander sur Internet tout ce qu'ils souhaitent à partir du moment où le moyen de paiement a été préenregistré sur ces sites de vente en ligne.

Comment se prémunir contre les attaques des cybercriminels?

Pour éviter le piratage, 3 règles d’or: anticiper, prévenir et s'entraîner. Des tests d'intrusion peuvent être réalisés pour répondre régulièrement à la question des failles présentes sur les systèmes à un instant T. Deux autres mesures incontournables doivent être implémentées par les administrations. D'une part, la formation des utilisateurs afin de les sensibiliser au risque de phishing, une technique qui consiste à envoyer des mails aux utilisateurs pour les inciter à cliquer sur un lien ou ouvrir une pièce attachée dans le but de prendre le contrôle d'un poste de travail situé sur le réseau interne de l'organisation. D'autre part, la revue de la stratégie de backups pour assurer l'existence de copies hors ligne intègres et inaccessibles aux hackers.

À quel niveau la Confédération et les communes sont-elles préparées à ce genre d’événement?

La Confédération et les cantons ont déjà massivement investi dans des mesures de réduction de risque telles que la formation des collaborateurs, la mise en place de solutions de sécurité de dernière génération ainsi que la surveillance sécuritaire active pour détecter les intrusions et limiter leurs impacts. Les communes bénéficient de services de sécurité offerts par certains cantons (c'est le cas pour le Canton de Vaud) et la Confédération mais les capacités des communes restent limitées eu égard à leurs moyens financiers. Bien évidemment, les mesures de sécurité standards telles que antivirus ou firewall sont en place depuis longtemps. Malgré tout, les efforts des cybercriminels sont justement concentrés sur le contournement de ces mesures pour parvenir à leurs fins.

La Suisse doit-elle s’attendre à de prochains événements de la sorte?

Malheureusement, la Suisse attire inévitablement ces convoitises. Le fait que les hackers réussissent à obtenir des paiements de rançons ne fait que motiver d'autres cybercriminels à s'engager dans la même voie. De plus, avec l'apparition de nombreux services VPN gratuits ou payants, les hackers disposent d'outils très efficaces pour protéger leur anonymat. En définitive, la prise de risque est très limitée si on la compare avec les holdups plus conventionnels et c'est ce qui explique la multiplication déjà constatée des cyberholdups.