J’ai l’habitude sur certains sujets de suivre des spécialistes en cybersécurité sur Linkedin, ce qui me permet d’être un poil en avance sur les sorties médiatiques, mais aussi d’éviter les emballements sur des sujets souvent mal maîtrisés.
Le pseudo piratage de la CAF
Et ce mois ci ça a encore été le cas avec le prétendu piratage de la CAF par LulzSec. Les personnes que je suis sur ce réseau ont très vite mis en garde contre ces déclarations, et il n’a pas fallu 2 jours pour que la confirmation tombe : pas de piratage, mais un bel emballement médiatique, même chez des médias pourtant plutôt sérieux sur le sujet généralement.
Deux choses à noter :
- Ce n’est pas la première fois que ce genre d’emballement se produit, la dernière fois c’était concernant ameli.fr, en fait déjà à l’époque des personnes piégées par des phishing probablement, et ça avait déjà flippées les personnes qui venaient en médiation. Sauf que là ça fait suite à un vrai piratage, celui de prestataire de mutuelles et des millions de données personnelles dans la nature. On va donc devoir de la même façon rassurer, expliquer, débunker…
- Ensuite, le choix de faire ma veille en me basant sur des personnes spécialisées sur ces questions (vous pouvez les retrouver dans le post) m’a permis d’avoir des avis plus pertinents pour me faire le mien sur cette actualité. Je ne remets pas en cause les médias classiques mais les titres d’articles parfois un peu putaclic, les avis tranchés et définitifs des journalistes de médias pourtant sérieux par ailleurs me posent question. D’autant plus après le même type de façon de relayer une fausse information suite au même type de problème avec Ameli il y a plusieurs mois. Le choix des sources, les précautions prises par celles ci dans le traitement de cette information me confortent dans le fait qu’il est important de toujours prendre le temps et de ne pas décréter.
3 jours avant le post linkedin dans lequel j’ai évoqué cette question déjà, j’avais vu apparaître des annonces d’un possible piratage de la CAF suite aux déclarations de LulzSec. Les posts en question postés par des spécialistes en cybersécurité dont SaxX , étaient au conditionnel et prenaient un nombre raisonnable de précautions par rapport aux déclarations du groupe de pirates :
Le mardi suivant, journée de médiation sociale pour moi au Centre Sociaux Fidésiens, l’une des personnes qui était venue pour une aide sur une démarche s’inquiétait justement de ce piratage de la CAF… Peu de temps après le piratage de Viamedis et Almerys, prestataires de mutuelles de santé et la fuite dans la nature des numéros de sécurité sociale, noms et prénoms, dates de naissance de plusieurs millions de personnes.
L’emballement médiatique n’a pas traîné de la part d’un certain nombre de médias dont certains pourtant plutôt sérieux. Les spécialistes que je suis étaient pourtant plutôt circonspects : je pense aussi a un post d’Antonin HILY et à un commentaire de Valery Rieß-Marchive qui rappelle qu’il est plus probable qu’il s’agisse d’informations récupérées par un phishing ciblé ou via un infostealer.
Et ils avaient raison… je cite l’article de France info :
« Contredisant les affirmations de LulzSec, la CAF a démenti avoir été victime d’un piratage, mercredi. Après avoir fermé volontairement son portail plusieurs heures « par précaution » entre lundi et mardi, l’organisme assure dans un communiqué qu’ »aucune faille de sécurité n’a été détectée sur le site caf.fr”, et que l’événement n’a « aucun impact » sur les démarches et paiements des allocataires.
Les captures d’écran de quatre comptes d’utilisateurs présentées par LulzSec sont pourtant bien authentiques. « Les quatre comptes allocataires publiés par les pirates ont manifestement été consultés suite à piratage du mot de passe », détaille la CAF, qui précise qu’ »aucune démarche n’a été effectuée sur ces quatre comptes (…), l’accès aux RIB n’étant pas possible ». Auprès de franceinfo, la CAF ajoute que « les quatre allocataires identifiés ont été contactés et leurs comptes complètement sécurisés ».
Source : https://www.francetvinfo.fr/internet/securite-sur-internet/cyberattaques/ce-que-l-on-sait-du-pretendu-piratage-de-600-000-comptes-de-la-caf-revendique-par-un-groupe-de-hackers-mais-dementi-par-l-organisme_6365002.html
C’est un nouvel épisode du « piratage Améli », c’est-à-dire quelques comptes piratés suite à une campagne de phishing et derrière rapidement une rumeur qui se répand, que cette administration se serait fait pirater…
Quelques jours plus tard, le même groupe nous faisait la même chose en prétendant avoir piraté EDF… Et là encore, quelques comptes probablement par phishing.
Pour s’informer sur ces questions je préfère donc suivre les personnes que j’ai citées dans ce post.
MISE A JOUR DU 27/02/2024
La CNAF a annoncé qu’il s’agissait finalement de plusieurs milliers de comptes compromis, mais toujours pas de piratage, encore moins de 600 000 comptes, elle précise dans son communiqué de presse :
- Une violation de données est avérée, plusieurs milliers de comptes allocataires ont été visités de manière illégitime. Des personnes malveillantes se sont connectées à des comptes d’allocataires avec leurs mots de passe réels, volés et « mis à disposition » sur le « darkweb » ;
- Il n’y a eu aucune faille de sécurité sur le site [caf.fr](http://caf.fr/), qui n’a aucunement été piraté
Ce qu’il faudrait retenir au delà de l’emballement médiatique
De la même façon que je me suis méfié des déclarations de LulzSec, je me méfie des discours journalistiques qui évoquent la fin d’autre groupe spécialisé lui dans le ransomware : Lockbit. (Ce qui s’est confirmé hier…). L’opération nommée Cronos et menée par Europol, le NCA et 10 pays dont le Royaume-Uni , les États-Unis , la France, le Japon, la Suisse , le Canada , l’Australie , la Suède , les Pays-Bas, la Finlande et l’Allemagne a permis la fermeture de l’infrastructure de ce groupe cybercriminel. C’est aussi la saisie de serveurs et de cryptomonnaies. Mais surtout cela a permis de disposer d’un outil pour décrypter les données qui avaient été chiffrées par leur ransomware.
Si c’est un énorme coup porté contre ce groupe, je ne crois pas comme l’écrivent certains journalistes que c’est “la fin de l’histoire” (bon ça c’est aussi un peu une blague d’historien, par rapport à un livre qui prédisait la fin de la complexité géopolitique après la fin de l’URSS… Je vous résume le truc, l’auteur s’est planté). S’il faut bien retenir une chose c’est qu’il faut prendre beaucoup de précautions lorsqu’il s’agit de ces thématiques.
Par contre cela peut aussi être un moment d’éducation numérique
Lorsqu’une entreprise ou toute autre structure qui gère des données personnelles subit un piratage et une fuite de données personnelles, celle ci est tenue d’informer la CNIL ans un délai de 72h. Cette obligation est issue du RGPD (Règlement Général de Protection des Données).
Ce que dit la CNIL précisément :
- Vous avez mis en œuvre un traitement de données personnelles.
- Ces données ont fait l’objet d’une violation : perte de disponibilité, d’intégrité ou de confidentialité, de manière accidentelle ou illicite.
- Cet incident constitue un risque au regard de la vie privée des personnes concernées.
Vous devez le notifier à la CNIL dans les meilleurs délais, au plus tard dans les 72 heures, en utilisant notre téléservice de notification de violations
Attention !
Si l’incident constitue un risque élevé pour la vie privée des personnes concernées, vous devez également notifier l’incident aux personnes concernées.
En cas de doute, notifiez l’incident à la CNIL qui vous indiquera s’il est nécessaire d’informer les personnes.
De ce point de vue l’évolution de la loi a un effet plutôt positif puisque le public est informé, parfois personnellement et peut prendre des précautions (changer de mot de passe par exemple) ou poser la question au médiateur numérique le plus proche. Les failles n’ont pas toujours été très “publiques” et au fur à mesure des années, des bases de plus en plus grandes de listes d’emails et de mot de passe sont découvertes par des experts en sécurité sur des forums où elles se revendent.
Le pendant est que cela inquiète aussi fortement les internautes, dont les personnes que j’accompagne (comme expliqué plus tôt), surtout s’agissant de leurs données de carte bleu. Beaucoup de seniors par exemple me répètent qu’ils n’achèteront jamais en ligne à cause de cela.
Si je me sens concerné par le sujet :
Si vous avez un doute sur le fait que vos mots de passe aient pu fuiter
Si vous avez un doute, vous pouvez aller vérifier si vous êtes déjà parmi ceux qui sont touchés par une fuite de données en allant sur le site https://haveibeenpwned.com/ qui récupère toutes ces bases et qui vous permet de tester si votre email y est présent. Un autre site permet les même recherches : https://cybernews.com/password-leak-check/ . Vous pouvez aussi vérifier sur ceux-ci si vos mots de passe sont eux aussi présents dans des bases.
Si vous utilisez un navigateur comme chrome et que vous enregistrez vos mots de passe, vous disposez d’un outil intégré au gestionnaire de mots de passe du navigateur de Google qui va vous signaler si ceux ci sont potentiellement compromis.
Je reviendrais dans un autre article sur la question des mots de passe et de nombreuses ressources existent sur la question.
Si vous êtes médiateur numérique ou vous intéressez à ces questions
Si vous souhaitez comprendre un peu mieux comment protéger vos données le MOOC SecNumacadémie de l’ANSII est à la fois très complet et particulièrement formateur, j’ai eu beaucoup de plaisir à le suivre : https://secnumacademie.gouv.fr/
Si le MOOC vous parait peut être trop complet, trop complexe et si vous recherchez des informations et des supports pour aborder le sujet avec du public, ou même avec des proches, il y a le travail que je ne ne cesse de recommander de https://www.cybermalveillance.gouv.fr/ qui conseille, explique les bonnes pratiques et assure une veille.
N’hésitez pas à vous inscrire à leur newsletter.
De plus pour les médiateurs numériques (et tout ceux qui voudraient sensibiliser) il y a leur excellente mallette créée en collaboration avec l’ANCT qui comprend :
- Un livret pédagogique pour accompagner le public
- Un support de médiation permettant d’échanger avec ceux pour qui vous allez animer un atelier par exemple
- Une activité pédagogique (jeu de cartes et un tapis de jeu),
- Des recommandations essentielles à remettre à l’usager.
Pour en savoir plus : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/outils-acteurs-mediation
Si vous souhaitez télécharger cette mallette sous forme de fichiers imprimables vous pouvez la télécharger en cliquant sur ce lien
S’il fallait donc résumer ces leçons :
Écoutez des spécialistes du sujet, surtout lorsqu’ils ne sont pas catégoriques, ça vaut pour tous les domaines
Profitez de cette occasion pour prendre soin de vos données et de vos mots de passe.
Quelques ressources utiles :
- Pour suivre l’actualité de ces questions, si vous n’êtes pas sur linkedin et que vous ne suivez pas ceux que j’ai recommandés, il y a aussi https://www.zataz.com/ que je lis depuis… Le début des années 2000 (ça ne me rajeunit pas ça).
- Tenez vous informés aussi en suivant cette curation : https://cyberveille.curated.co/
Laisser un commentaire