Des pirates ont réussi à infiltrer des comptes email de députés anglais. L'attaque n'aurait fait que peu de victimes, mais a tout de même nécessité de couper l'accès aux serveurs depuis l'extérieur. Un épisode qui met une nouvelle fois en avant l'importance d'avoir une bonne hygiène de gestion des mots de passe.
Ce week-end, le Parlement britannique a été pris pour cible par des pirates qui n'ont pas encore été identifiés. Selon nos confrères de Telegraph qui citent des experts en sécurité, il s'agirait de l'attaque « la plus importante » contre cette institution outre-Manche et elle aurait débuté dès vendredi dernier.
Les pirates n'ont pas fait dans la dentelle pour mener à bien leur besogne : ils auraient utilisé la force brute pour tenter d'accéder aux comptes dont les mots de passe étaient les plus faibles.
Cet épisode soulève une nouvelle fois l'importance de respecter de bonnes pratiques dans la gestion des mots de passe. Il rappelle également que le niveau de sécurité dépend toujours du maillon le plus faible. Disposer d'un réseau protégé ne sert à rien avec des mots trop faciles à casser... et vice-versa.
L'accès extérieur coupé pour limiter les dégâts
Afin de juguler cette attaque, le Parlement annonçait samedi en fin de journée avoir temporairement coupé l'accès externe à son réseau. Conséquence, les députés qui se trouvaient en-dehors du Palais de Westminster à Londres étaient dans l'incapacité d'accéder à leurs emails. Le reste des services fonctionnait normalement selon le communiqué du Parlement :
Statement regarding cyber incident. pic.twitter.com/fAbDkAfdbj
— Commons Press Office (@HoCPress) 24 juin 2017
Les députés anglais ont d'ailleurs rapidement confirmé à leurs concitoyens qu'ils ne pouvaient pas accéder à leur messagerie, et leur demandaient parfois de les contacter via un autre canal en cas d'urgence (Twitter, autre messagerie, etc.). Bref, chacun s'organisait comme il pouvait en attendant un retour à la normale.
Moins de 1 % des comptes compromis
Dans le communiqué du Parlement, on apprend aussi que « significativement moins de 1 % des 9 000 comptes » du Parlement ont été compromis par cette attaque, soit moins de 90 comptes. Dans le lot des 9 000, il y a pour rappel les 650 députés, les pairs ainsi que de nombreux fonctionnaires et personnels rattachés aux différentes circonscriptions... ainsi que Theresa May elle-même (dont on ne sait pas si le compte a été touché).
Si les pirates ont réussi à passer les défenses, c'est à cause de l'utilisation par certains de mots de passe faibles et « qui ne sont pas conformes aux directives émises par le service numérique parlementaire ». Bien évidemment, les comptes identifiés sont contactés individuellement afin de faire un état des lieux (données dérobées, effacées, etc.).
Cette attaque soulève au passage des questions sur la confidentialité des informations, comme l'explique le député Andrew Bridgen à nos confrères de Press Association : « Les gens nous expliquent leurs pires problèmes dans leur vie, en pensant que leurs emails sont sécurisés ». Reste à savoir combien dans le lot sont réellement conscients qu'un email est comme une carte postale : ceux qui le font transiter peuvent y accéder, mais c'est une autre histoire.
Comme toujours lorsque des données personnelles sont dérobées, la crainte d'un chantage n'est pas à écarter suivant la sensibilité des informations récupérées. Il en est de même pour des attaques par phishing, un pirate pouvant tenter de se faire passer pour un député.
L'enquête est en cours pour connaitre les responsables
Lors d'une interview accordée à ITV News, Liam Fox, ministre du Commerce international, explique que cette attaque « n'est pas du tout surprenante » : « Nous avons vu des rapports au cours des derniers jours, même les mots de passe des ministres du Cabinet étaient en vente en ligne ». Il ajoute que cette cyberattaque constitue « un avertissement pour tous, nous avons besoin de plus de sécurité et de meilleurs mots de passe »... finalement comme toutes les cyberattaques dont l'on entend parler à longueur d'année.
L'origine de celle-ci n'a pas été dévoilée, mais il pourrait s'agir d'acteurs soutenus par un État et les suppositions vont bon train. Finalement le député Henry Smith résume assez bien la situation : « nous sommes sous le coup d'une cyberattaque de Kim Jong Un, de Poutine, d'un enfant dans le sous-sol de sa mère ou quelque-chose comme ça... » :
Sorry no parliamentary email access today - we're under cyber attack from Kim Jong Un, Putin or a kid in his mom's basement or something...
— Henry Smith MP (@HenrySmithUK) 24 juin 2017
Dans tous les cas, l'enquête se poursuit, avec l'aide du National Cyber Security Centre (NCSC) et du National Crime Agency (NCA).
Pour rappel, nous avons publié un dossier sur les mots de passe et leurs gestionnaires :
