Pourquoi le coronavirus a amplifié les cyberattaques contre les villes et les collectivités

PIRATAGE De nombreuses communes ont été victimes d’attaques informatiques ces derniers mois

Nicolas Raffin

— 

La ville de Marseille a été victime d'une cyberattaque en mars 2020.
La ville de Marseille a été victime d'une cyberattaque en mars 2020. — GERARD JULIEN / AFP
  • Les attaques par rançongiciels se sont multipliées en 2020.
  • La généralisation du télétravail, conséquence de la pandémie de coronavirus, est clairement un facteur de risque.
  • Les villes et collectivités sont souvent démunies et peu formées face au danger d’un piratage.

C’est une épidémie apparue en même temps que celle du coronavirus. Si le Covid-19 infecte les humains, celle-ci s’en prend aux ordinateurs. Depuis le début de la pandémie, plusieurs organismes ont alerté sur la multiplication des attaques informatiques criminelles visant des entreprises ou des institutions. La semaine dernière, le directeur général de l’Anssi, l’agence publique chargée de la sécurité informatique française, dressait un bilan alarmant sur BFM Business : « Dans les victimes qui font appel à nous (…), un chiffre à la louche : 50 opérations en 2019, 200 en 2020, donc c’est x4 (…). Donc il y a véritablement une explosion ».

Parmi les cibles se trouvent de nombreuses villes et collectivités. Selon un décompte établi par 20 Minutes (la liste complète est à lire en bas de l’article), au moins une quinzaine d’entre elles a subi ces derniers mois une attaque de type « rançongiciel » (ransomware en anglais). Le principe : un logiciel malveillant s’introduit dans le système d’information d’une commune et bloque l’accès à tout ou partie des données. Pour les récupérer, les pirates exigent le paiement d’une rançon, souvent en Bitcoins. Rien qu’entre janvier et août 2020, l’Anssi a dénombré 104 attaques de ce type (incluant aussi des entreprises). Un chiffre très en deçà du nombre réel de piratages : selon le rapport 2020 du Clusif, association experte en cybersécurité, « une majorité (53 %) de collectivités ne communique pas sur les attaques par rançongiciel subies ». L’Anssi reconnaît même dans un rapport qu’elle a parfois été alertée en lisant la presse ! Preuve que le sujet est sensible, les municipalités touchées que 20 Minutes a contacté n’ont pas donné suite.

Principales collectivités qui ont été victimes d'un rançongiciel en 2020. La liste complète figure en bas de l'article.
Principales collectivités qui ont été victimes d'un rançongiciel en 2020. La liste complète figure en bas de l'article. - Nicolas Raffin/20 Minutes

Des blocages très handicapants

Angers est la dernière victime connue. Depuis le 15 janvier, la cité angevine se débat face à un rançongiciel qui a bloqué l’accès aux ordinateurs de la collectivité. Si la mairie assure qu’elle dispose d’une sauvegarde « sécurisée » de toutes ses données, la cyberattaque a eu des conséquences très concrètes sur le fonctionnement de l’administration. Le conservatoire de la ville a ainsi indiqué sur Twitter que son système informatique était « paralysé » et qu’il ne pouvait « ni joindre ni être joint par mail », invitant les habitants à utiliser le bon vieux téléphone.

D’autres villes ou collectivités ont connu des déboires similaires. A Bayonne, la ville a demandé la semaine dernière aux 23.000 habitants possédant un compte sur le site municipal de changer leur mot de passe après une attaque. La municipalité va également débourser 50.000 euros supplémentaires par an pour renforcer sa sécurité informatique.

A Marseille, une cyberattaque menée juste avant les élections municipales de mars dernier a semé la panique dans les couloirs de l’Hôtel de ville. « On n’avait plus le moindre planning de nos 12.000 fonctionnaires (…), on avait paumé les listes électorales pour le lendemain, mais aussi les listes d’inscriptions des enfants dans les crèches et écoles primaires (…). On ne pouvait même plus enregistrer en bonne et due forme les naissances et les morts », a expliqué une source anonyme de la mairie à La Provence.

« Pour un pirate, c’est royal ! »

Pour plusieurs experts en cybersécurité, la pandémie de coronavirus et la nouvelle organisation de travail favorisent clairement ce type d’attaque. « Le Covid-19 multiplie les cibles, explique à 20 Minutes Rémy Février, maître de conférences au Cnam et ancien officier de gendarmerie*. Le télétravail a multiplié les liaisons entre les agents à distance et leur réseau interne. C’est autant de vecteurs possibles d’attaques. Pour un pirate, c’est royal ! ».

« Lorsqu’un agent de mairie travaille chez lui, il utilise soit un équipement personnel qui n’est pas forcément sécurisé, soit son ordinateur de travail mais qui sort du réseau sécurisé. Et en ouvrant toutes ces petites fenêtres, il y a forcément beaucoup plus d’entrées dans la bâtisse » confirmait cette semaine à France 3 Emmanuel Vivé, directeur général de l’association de développement numérique (Adico) de l’Oise.

Mise à jour urgente

Le télétravail étant amené à durer de manière massive, au moins dans les prochains mois, les collectivités ont donc tout intérêt à mettre en place des plans d’actions pour éviter autant que possible les cyberattaques. L’Anssi a édicté un guide à leur attention fin 2020 et formule plusieurs recommandations. « Le plus souvent, l’attaque par rançongiciel commence par l’ouverture d’une pièce jointe piégée ou la consultation d’une page web malveillante » rappelle l’agence spécialisée.

Il est donc primordial de sensibiliser tous les utilisateurs d’un réseau donné à la sécurité numérique. En outre, comme pour le coronavirus, un strict respect des gestes barrières est indispensable face aux rançongiciels : mise à jour systématique des logiciels, limitation des droits administrateur, ou encore sauvegardes régulières dans un espace déconnecté du système d’information général. « Beaucoup de collectivités ont encore du retard sur tous ces points, déplore Rémy Février. Une grande majorité n’a pas conscience des risques. Par ailleurs, elles disposent souvent de peu de moyens financiers. Si vous avez déjà du mal à lancer des programmes d’investissements sur votre territoire, la sécurité informatique ne sera pas votre priorité ».

Listes des communes* ou collectivités victimes d’un rançongiciel en 2020 :

24 janvier : Saint-Paul-en-Jarez (Loire)

30 janvier : Tullins-Fures (Isère)

13 février : Région Grand-Est

5 mars : Charleville-Mézières (Ardennes)

13 mars : Métropole Aix-Marseille et Martigues (Bouches-du-Rhône)

Mars 2020 : Crêts-en-Belledonne (Isère)

Mars : Deux communes du Morbihan (leurs noms n’ont pas été rendus publics)

6 juillet : Département d’Eure-et-Loir

18 juillet : Mitry-Mory (Seine-et-Marne)

2 novembre : Vincennes (Val-de-Marne)

6 novembre : Alfortville (Val-de-Marne)

10 novembre: Bondy (Seine-Saint-Denis)

17 décembre : Marolles-en-Brie (Val de Marne)

26 décembre : La Rochelle (Charente-Maritime)

27 décembre : Annecy (Haute-Savoie)

 

* Communes recensées par 20 Minutes sur la base d’articles de presse.