Un groupe de pirates a revendiqué l’attaque contre le ministère de l’Intérieur. Il assure que les données sont beaucoup plus sérieuses que celles reconnues : elles émaneraient du TAJ et d’autres fichiers sensibles.

Comme nous l’indiquions vendredi dernier, le ministère de l’Intérieur a été piraté. Le soir du jeudi 11 décembre, un article est ainsi paru sur le média INF La Rochelle : des activités suspectes avaient été repérées sur les serveurs de messagerie du ministère de l’Intérieur. Ce dernier confirmait alors « l’existence d’activités suspectes visant ses serveurs de messagerie ».

Le ministère ajoutait que « l’identification de l’origine et de l’ampleur exacte de ces actions est en cours d’analyse. Sans délai, des mesures ont été mises en œuvre par les services compétents afin de circonscrire la menace. Elles se traduisent par plusieurs actions conduites sur l’infrastructure réseau et par une élévation des règles et pratiques de sécurité informatique ». Une enquête avait été ouverte et un signalement envoyé à la procureure de Paris, indiquaient nos confrères. En outre, il aurait été demandé à au moins une partie des policiers de changer leurs mots de passe.

À peine dix minutes plus tard, BFM renchérissait. Même réponse du ministère de l’Intérieur. Le média indiquait que l’ANSSI avait été mobilisée et que la situation était « attentivement suivie par les autorités et services compétents ». Il ajoutait qu’une analyse des serveurs avait été lancée, que la double authentification avait été généralisée et que des rappels d’hygiène numérique avaient été faits aux agents. BFM précisait en outre que l’enquête avait été confiée à l’OFAC (Office anti-cybercriminalité).

Vendredi 12 décembre, Laurent Nunez, ministère de l’Intérieur, intervenait sur le plateau de RTL. Il y confirmait que le ministère avait bien été victime d’une attaque : un « assaillant a pu pénétrer sur un certain nombre de fichiers » (sic). Il ne donnait aucune information complémentaire, mais ajoutait quand même qu’aucune « trace de compromission grave » n’avait été détectée à ce stade.

TAJ, FPR : des pirates revendiquent une fuite cataclysmique

La fuite de données, déjà problématique par le profil de sa victime, pourrait cependant être pire dans sa portée. Un groupe de pirates, qui se réclame « ami » des personnes arrêtées dans le cadre de l’enquête visant BreachForums/ShinyHunters/hollow, a publié un message sur ledit forum, ressuscité le temps de quelques heures.

• Comment l’étau s’est resserré autour d’Intelbroker et des admins de BreachForums

Aujourd’hui, ce message n’est plus consultable que par une adresse sur le site archive.ph. Le groupe s’y excuse d’avoir relancé le forum de cette manière, se disant conscient que la manœuvre avait tous les attributs d’un « pot de miel », autrement dit un piège tendu par les autorités, tout particulièrement le FBI. En dépit de cette affirmation, il pourrait effectivement s’agir d’un piège.

La personne ayant publié le message, Indra, affirme que les données du ministère de l’Intérieur ont bien été récupérées et qu’elles sont bien plus nombreuses que ce que les autorités françaises en disent. L’opération serait le résultat d’une vengeance orchestrée contre les forces de l’ordre françaises. Des « représailles pour nos amis arrêtés », indique Indra.

Quant aux données, elles proviendraient rien moins que du TAJ (Traitement d’Antécédents Judiciaires) et du FPR (Fichier des Personnes Recherchées). Indra évoque également Interpol, les finances publiques (DGFIP), ou encore la Caisse nationale d’assurance vieillesse (CNAV), ainsi que les outils Cheops et Proxyma, entre autres. Un fourre-tout dont il est impossible d’évaluer la véracité pour l’instant.

• 12 ans que la CNIL dénonce le fichier TAJ des personnes « défavorablement connues »… en vain

Selon le message, les données représenteraient 16 444 373 personnes. « Si un gouvernement ne peut même pas se protéger, imaginez qu’un terroriste ait obtenu toutes ces données. Qu’est-ce qui se serait passé ? Maintenant, vous paierez pour ce que vous avez fait à nos amis », ajoute l’auteur du message.

La France aurait jusqu’au 20 décembre

Il ajoute que la France a une semaine pour contacter le groupe à une adresse tutanota, plaçant la date butoir au 20 décembre. Plus le pays mettra du temps à répondre, plus des données seront divulguées, affirment les pirates. Si le délai venait à être écoulé sans paiement (la somme n’est pas précisée), les données seront vendues « à notre communauté pour prouver que nous ne sommes pas des forces de l’ordre ». Une menace directe de type terroriste, en dépit des affirmations d’Indra.

« Je tiens en revanche à répondre à vos déclarations dans la presse, selon lesquelles nous n’aurions eu accès qu’aux messageries du ministère de l’Intérieur. Vous savez aussi bien que nous que cela est totalement faux. Pour ce seul mensonge, j’ai décidé de rouvrir BreachForums », ajoute celui qui se présente comme l’auteur de l’attaque. En réponse à un commentaire sur le forum, il a déclaré : « Le chaos se répand en France et tout sera bientôt réduit en cendres ».

Le forum n’est actuellement plus accessible. L’adresse renvoie vers une page expliquant que des problèmes techniques l’empêchent pour l’instant de revenir, mais qu’il devrait de nouveau être accessible d’ici peu. Le message contient un condensé de la situation. On trouve la même publication sur l’onion de BreachForums sur Tor.