Alpes-Maritimes : Hackers, rançon, fichiers publiés… La cyberattaque du conseil départemental est désormais signée

PIRATAGE Le conseil départemental des Alpes-Maritimes a été victime d’une cyberattaque dans la nuit du 9 au 10 novembre. Les hackers ont demandé une rançon, sans quoi ils publieraient les données volées

Elise Martin
Les hackers ont publié 13 GO des 292 qu'ils ont exfiltrés (Illustration)
Les hackers ont publié 13 GO des 292 qu'ils ont exfiltrés (Illustration) — Pexels / Pixabay
  • Dans la nuit du 9 au 10 novembre, le conseil départemental des Alpes-Maritimes s’est fait pirater son réseau informatique.
  • Dix jours plus tard, un groupe de pirates a revendiqué l’attaque en demandant une rançon, sans quoi, il publierait les données volées.
  • Les hackers ont effectivement publié une partie des fichiers. Il reste quelques jours au conseil départemental avant qu’ils ne diffusent le reste.

Ils ont mis leur menace à exécution. Les hackers auteurs de la cyberattaque du conseil départemental des Alpes-Maritimes viennent de publier une partie des données volées la nuit du 9 au 10 novembre dernier. On fait le point avec les derniers éléments de cette affaire.

Qui sont les pirates ?

La cyberattaque a été revendiquée par un groupe de hackers appelé « Play ransomware », un logiciel de rançon qui prend en otage des données. D’après le site Zataz, spécialiste en cybersécurité, ils sont actifs depuis le mois de juin et affichent leurs victimes depuis mi-novembre sur le darkweb. Ils mettent alors la date, la situation géographique et la quantité de données volées pour pousser les organismes à payer. C’est pourquoi le nombre de victimes varie constamment sur le site : certaines ne sont plus affichées parce qu’elles ont payé. Pour celles qui ne le font pas, les fichiers sont diffusés. Comme pour le conseil départemental des Alpes-Maritimes.

Quelles sont les motivations des hackers ?

Selon Gérôme Billois, expert en cybersécurité chez Wavestone et auteur du livre Cyberattaque : Les dessous d’une menace mondiale, ce groupe international serait situé à l’étranger et son but serait simplement de gagner de l’argent. « Pour imager, ce serait comme un groupe de voleurs sur un parking qui tenterait d’ouvrir toutes les portes et qui prendrait ce qu’il peut avant de demander une rançon en échange », développe-t-il.

Selon lui, « Play ransomware » ne connaît même pas le français, et encore moins ce qu’est le département des Alpes-Maritimes. « On parle dans ce cas-là d’une attaque opportuniste et non pas ciblée, précise l’expert. Les hackeurs cherchent des cibles, rentrent dans le système et demandent de l’argent ensuite. »

Que s’est-il passé depuis la cyberattaque ?

Dix jours après le piratage du réseau informatique du conseil départemental, qui s’est déroulé dans la nuit du 9 au 10 novembre, « Play ransomware » a menacé la collectivité de rendre en accès libre 13 GO des 292 dérobés si elle ne payait pas une rançon. Sans réponse de celle-ci, les données ont effectivement été publiées sur un serveur gratuit et public et sont téléchargeables par n’importe qui. Les hackers ont posé un nouvel ultimatum au département. Il ne lui reste plus que quatre jours pour payer. Le montant de la rançon n’a pas été communiqué.

Pour Gérôme Billois, « les montants peuvent être très élevés, des milliers de dollars, puis diminuer en fonction de l’intention de payer ou non. » Les pirates de la cyberattaque qui a touché le réseau informatique du département de Seine-et-Marne, ont réclamé dix millions de dollars. Mais l’expert rappelle : « La doctrine du gouvernement français est claire là-dessus, on ne paie pas les rançons. »

Que contiennent ces documents ?

Les documents, désormais accessibles à tous, relèvent surtout de papiers personnels d’identité, de la vie des administrés et des données administratives internes à la collectivité. D’après Nice-Matin, ce sont des photocopies de passeport, des bordereaux, des cartes grises mais aussi des fichiers concernant des collèges des Alpes-Maritimes ou encore des notes destinées au président du département Charles Ange Ginésy.

« Habituellement, les groupes de rançonlogiciel diffusent les fichiers sur le darkweb, souligne Gérôme Billois. Si ces données sont si accessibles, c’est pour mettre au maximum de pression sur l’organisme. »

Et du côté du conseil départemental ?

Contacté par 20 Minutes, le conseil départemental n’a pas répondu aux sollicitations sur le sujet. Lors de la séance plénière du 25 novembre, relaté par le quotidien local, le département avait précisé que les auteurs de la cyberattaque avaient réussi « à pénétrer les systèmes par un accès privé en usurpant l’identité d’un agent ».

Charles Ange Ginésy avait également ajouté que « l’exfiltration de fichiers bureautiques non stratégiques » représentait « 0,1 % du volume global des données de la collectivité ». Le président avait ainsi assuré que les « conséquences avaient été limitées » alors que « les hackers avaient tenté d’atteindre les éléments vitaux du réseau, tels l’annuaire d’entreprise ou les sauvegardes, afin de les compromettre pour provoquer le maximum de dégâts ». Il avait, une semaine après les faits, sollicité une « action collective » auprès de l’association des départements de France pour « améliorer les process de repérage des cyberattaques et les process de réponse et de gestion de crise lors d’une attaque ».



Dès le 10 novembre, une plainte a été déposée. Une enquête est en cours et un signalement à la Cnil (commission nationale de l’informatique et des libertés) a été déposé. Les hackers risquent jusqu’à sept ans d’emprisonnement et 300.000 euros d’amende.

Quelles conséquences ?

Derrière cette attaque, « il y a des conséquences collectives, qui touchent directement le grand public », indique l’expert en cybersécurité. Ces documents sont effectivement « sensibles et très personnels » dont des personnes mal intentionnées pourraient profiter. D’autant plus que « ce genre d’enquête est complexe, longue et nécessite une coopération internationale » comme les pirates ne sont « jamais situés dans le pays », explique l’expert. Mais c’est possible, il y a deux semaines, un hackeur a été arrêté au Canada.