« Une attaque très grave ». Ce mercredi matin sur France Info , puis devant les députés lors des traditionnelles questions au gouvernement, le ministre de l’Intérieur Laurent Nuñez a expliqué que la base informatique de Beauvau avait récemment été la cible « d’une intrusion malveillante » , soit une attaque informatique. Un acte qu’il a qualifié de « très grave ». Une enquête a été ouverte par le parquet de Paris pour faire la lumière sur cette affaire. Elle a été confiée au centre de cyberdéfense du ministère et l’Office anti-cybercriminalité (OFAC) de la police judiciaire, en lien avec l’Agence nationale de sécurité des systèmes d’information. Que s’est-il passé ? L’affaire remonte à début décembre. En Charente-Maritime, la presse locale révèle que le service informatique d’un commissariat a été visé par une attaque informatique. Interrogé par BFMTV jeudi dernier, le ministère de l’Intérieur confirme que des activités suspectes visant des services de messagerie ont été détectées. Ce mercredi, il a détaillé le mode opératoire. « Un individu ou un groupe d’individus s’est introduit dans nos systèmes d’information en utilisant nos messageries, a déploré le locataire de Beauvau. À partir de certaines boîtes professionnelles, il a pu récupérer des codes d’accès qui sont échangés en clair, en dépit de toutes les règles de prudence, pourtant, que l’on diffuse très clairement. » C’est avec ces codes que les pirates ont pu s’infiltrer dans plusieurs systèmes. Une enquête administrative devra confirmer l’origine de la faille. Mais selon nos informations, un simple « phishing » (hameçonnage) de boîtes mails de policiers ou de gendarmes a permis l’intrusion des pirates dans le système. La preuve d’« un vrai échec collectif » en matière de sécurité aux yeux du hacker Clément Domingo, alias SaxX, auprès du Parisien. Qui se cache derrière les hackers ? Au début de l’affaire, Laurent Nuñez se veut rassurant sur les ondes de RTL : « pas de trace de compromission grave » , assurait-il la semaine dernière. « À la suite de cette annonce, il y a un peu d’accélération », resitue Clément Domingo - « gentil hacker » comme il se définit - qui a suivi le dossier de près. Durant le week-end, « un forum ressurgit et pas n’importe lequel », raconte-t-il : BreachForums, « le Amazon de la cybercriminalité ». Un mystérieux compte baptisé « Indra » publie alors un message en anglais. Il affirme avoir mis la main sur quelque 16 millions de données sensibles tirées des fichiers du ministère de l’Intérieur. En substance, « Indra » menace Beauvau de diffuser ces informations si ce dernier n’accepte pas de payer une rançon. Les pirates affirment agir en conséquence de l’arrestation, quelques mois plus tôt , d’autres cybercriminels issus du groupe « Shiny hunters ». « Ça s’enflamme de partout, reprend SaxX. Beaucoup d’experts se disent : Attention, BreachForums réapparaît . En plus, ce n’est pas n’importe quelle structure, n’importe quel organisme ( qui est attaqué ), mais le ministère de l’Intérieur. » Ce mercredi, Laurent Laurent Nuñez a simplement indiqué que les investigations étaient en cours et qu’elles n’avaient pas encore permis de dégager de suspects. Le groupe cybercriminel « Shiny hunters », lui, se dédouane de toute responsabilité. Dans un message adressé à SaxX , il affirme n’avoir aucun lien avec les pirates impliqués dans le vol des données du ministère. Clément Domingo privilégie dès lors la piste d’un « groupe de jeunes hackers » à la recherche d’un « coup d’éclat », notamment pour se positionner sur « l’échiquier » de la cybercriminalité. Mais il s’interroge : « Pourquoi ce groupe-là ne se revendique pas ? » L’expert juge peu crédible l’hypothèse d’une ingérence étrangère. Le modus operandi n’est pas celui des Russes, selon lui. « On parle de procédures qui peuvent mettre en péril la sécurité nationale comme la sécurité des personnes. Ils auraient vraiment publié un extrait pour faire monter la pression. » Dans ce cas précis, seule « une capture d’écran très floue, qui n’apporte pas plus de preuves que ça », a été dévoilée. À quoi ont-ils eu accès ? Dans un nouveau texte de revendication publié ce début de semaine, « Indra » laisse entendre que ses membres ont accédé au système Cheops (circulation hiérarchisée des enregistrements opérationnels de la police sécurisés). Ce portail commun à la police et à la gendarmerie permet d’accéder à différents fichiers, dont celui des permis de conduire et du terrorisme (FIT). Dès mardi, dans les colonnes du Figaro , Beauvau rétropédale et décrit finalement « une attaque très grave ». Au final, les hackers ont pu accéder à des données critiques . Ils ont par exemple pu parcourir le fichier des traitements des antécédents judiciaires (TAJ). Ou bien celui du FPR, qui recense les personnes recherchées par les forces de l’ordre. L’ampleur de la compromission réelle est encore en cours d’évaluation. Les hackers se vantent d’avoir « consulté les données de 16 444 373 de personnes ». Le ministre de l’Intérieur a, lui, mis en avant des chiffres moindres. « À date, je sais qu’il y a quelques dizaines de fiches qui ont pu être sorties du système, a reconnu l’ancien préfet de police de Paris à la radio, savoir si ça va compromettre des enquêtes, je ne peux absolument pas vous le dire à ce stade. » Selon nos informations , ce sont environ cent fiches issues du TAJ qui ont été consultées, mais aussi « extraites » et conservées par les pirates. Que dit cet incident de la cybersécurité en France ? Quelle que soit la quantité de données dérobées par les hackers, l’événement reste alarmant, selon SaxX. « On a un ministère régalien, qui est au cœur même du pouvoir et qui se fait attaquer, pointe-t-il. C’est une forme de cyberterrorisme de venir menacer un gouvernement et, par ce gouvernement, la sécurité et la vie des citoyens. » « Quand on a ce type d’incidents là, ça veut dire qu’il y a des choses à changer, de la pédagogie à apporter et, surtout, il y a un renforcement de la protection, de la cybersécurité à faire si on ne veut pas subir le même type d’attaques dans les semaines à venir », souligne-t-il. D’autant que les municipales et la présentielle approchent. Face à ces « imprudences » et ce « manque d’hygiène numérique » regrettés par l’ancien préfet de police de Paris, Beauvau a annoncé une série de mesures de « remédiation » immédiates, incluant la fermeture de certains comptes et l’imposition systématique de la « double authentification ». Seront-elles suffisantes pour neutraliser de futures cyberattaques ?