Baltimore, une ville de 602 000 habitants située à l’est des Etats-Unis près de la capitale Washington, a été la cible d’une attaque informatique le 7 mai dernier. La municipalité a longtemps réussi à cacher l’ampleur de ce hacking. Aujourd’hui, on sait que la ville est en partie paralysée. En passant par une faille de Windows XP et Vista, les pirates ont réussi à bloquer les 10 000 ordinateurs de la mairie en cryptant (et rendant donc inutilisables) l’ensemble des fichiers. Ce qui a eu par exemple pour conséquence la fermeture des comptes emails des agents de la ville, l’inaccessibilité des données de la vidéosurveillance, ou l’arrêt des paiements en ligne, ce qui suspend le règlement, entre autres, des impôts locaux, des amendes payables sur internet ou encore des factures d’eau et d’électricité.
Pour rendre l’accès aux ordinateurs et aux données, les pirates réclament une rançon de 13 bitcoins, soit environ 100 000 dollars. Le logiciel est en effet un « ransomware », diffusé par EternalBlue, un outil malveillant développé par la NSA (et donc aux frais du contribuable). Les hackers affirment donc pouvoir tout débloquer si l’otage paie la rançon. Ce que la municipalité refuse pour le moment. Elle pourrait bien changer d’avis, la rançon augmentant de 10 000 dollars par jour.
Les cyber-attaques de ce genre se multiplient contre les collectivités américaines. L’an passé, rien qu’aux Etats-Unis, plus de 25 municipalités ont admis en avoir été la cible. En 2018, la ville d’Atlanta, dans l’Etat de Géorgie, a été visée. Pour s’en remettre, et remettre en état son réseau informatique, elle a dû débourser plus de 10 millions de dollars. Attention, les grandes villes ne sont pas les seules attaquées. Les hackers ont également ciblé de plus petites villes comme Greenville, en Caroline du Nord, ou Allentown, en Pennsylvanie.
Quelle situation en France ?
Pour Florence Chafiol, avocate au sein du cabinet August Debouzy, cette situation « est reproductible en France. Plus que ça, c’est même déjà arrivé à plusieurs reprises. »
Ça a notamment été le cas à la mairie de la Croix-Valmer en août dernier, elle aussi attaquée par un virus cryptant les données contenues dans le système d’information de la commune. Là aussi, une rançon avait été demandée en échange de la clé de chiffrement permettant à la commune de reprendre le contrôle. Un exemple parmi d’autres. Pour l’avocate spécialiste des sujets numériques, « ces attaques vont devenir de plus en plus fréquentes car c’est un moyen facile de faire de l’argent. »
Une augmentation du risque déjà mise en avant par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) dans son rapport annuel présenté le 15 avril dernier. « La mondialisation des échanges économiques est source de nombreuses opportunités, mais également de nouvelles menaces. Ces risques pèsent de manière indifférenciée sur les structures publiques et privées de toutes tailles, de tous secteurs et la protection des informations ne concerne pas (ou plus) les seuls responsables de la sécurité. »
Pour éviter d’en arriver à ce type de situations, les collectivités doivent mettre en place des dispositifs de prévention. « Pour éviter les actes de cybercriminalité, il faut commencer par sécuriser son site internet et son système d’information, » explique Florence Chafiol.
Ce qui peut paraître compliqué. L’ANSSI a donc mis en ligne depuis 2017 du contenu pédagogique pour aider les acteurs à se protéger. Avec notamment la publication d’un référentiel général de sécurité (RGS) ou encore d’un guide contenant 42 règles d’hygiène informatique.
Un pan du RGPD consacré à la sécurité des données
De plus, Florence Chafiol précise que « depuis 2018, il y a un cadre juridique concernant la sécurité des données. Il a été introduit par l’article 32 du règlement général relatif à la protection des données personnelles (RGPD). »
Ainsi, selon les risques que le traitement fait peser sur les droits et libertés des personnes, les responsables de traitement doivent garantir un niveau de sécurité des données adapté. Pour ce faire, ils peuvent avoir recours entre autres à :
- une procédure d’analyse d’impact visant à apprécier le risque numérique que fait peser le traitement sur les personnes ;
- la pseudonymisation, le chiffrement des données personnelles, ou encore la mise en œuvre de moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience des données ;
- une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelle pour assurer la sécurité du traitement.
Ces obligations restant assez larges, l’ANSSI a décidé de mettre en ligne un « kit de la sécurité des données », contenant bonnes pratiques, guides d’hygiène informatique, recommandation pour les mots de passe… Le tout adapté à des non-experts.
Thèmes abordés
