
n°839.Bases de données éventées : inconscience et inconséquence généralisées
Il y a quelques jours, Le Desk révélait que des données touchant près de 50 000 bacheliers étaient proposées à la vente. Peu plus tard, c'était au tour d'Avito, avec les noms et les coordonnées de contact de 2.7 millions d'utilisateurs (lire ici leurs précisions commentées). Plus récemment encore, le ministère de l'Enseignement supérieur a souffert d'une fuite massive, avec la publication de données de près d'un million d'étudiants... dont ils n'ont pas pris connaissance, une source au sein du ministère (qui n’a visiblement pas été alertée par notre article) dira plus tard à la Vie Eco ne pas être au courant de cette attaque...
À chaque fois, des hackers ont mis la main sur des mines de données à caractère personnel. Avant d'être déchargée sur le net, la marchandise aurait pu être vendue à bien des entités, la diffusion sur les forums spécialisés n'intervenant qu'une fois la rentabilité maximale atteinte. Il n'est désormais pas exclu que ces données soient utilisées à des fins de démarchage ou de marketing, quand ce ne serait pas pour des activités délictueuses.
Particulièrement ciblé depuis quelques années, le ministère de l'Enseignement supérieur aurait dû prendre la mesure du risque : le piratage des portails web des universités marocaines est entré dans la routine. Des atteintes à l'intégrité des serveurs ont été rapportées par le passé, et en août dernier, des données provenant de l'École supérieure de commerce et gestion (ESCG) ont été mises en ligne sur un forum de hackers.
Avito, de même que les ministères de l'Education et de l'Enseignement supérieur ne sont pas des cas isolés. Quelques mois auparavant, on a pu retrouver sur le net les cautions bancaires d'une entreprise de construction cotée en bourse, détentrice d'un important carnet de commande publique, 800 pages de journaux comptables d'un établissement public marocain extraites à même le logiciel, ou encore un fragment de listes électorales comportant une dizaine de milliers de noms d'inscrits, leurs adresses, leurs bureaux de vote. Dans ces trois cas, difficile de parler de piratage. Il s'agirait d'abus d'accès.
Des « bonnes pratiques » pour la galerie ?
Certains de ces documents ont, certes, disparu du web depuis, mais continuent sans doute de circuler sous le manteau. Quelles mesures ont été prises pour s'assurer que de telles fuites ne puissent avoir lieu ? Des lois existent. Plusieurs entreprises et administrations publiques se targuent de guides de « bonnes pratiques » en matière de cybersécurité publications souvent génériques et décoratives. Une Direction générale de la sécurité des systèmes d'information (DGSSI) a été instituée en 2011 et dépend de l'administration de la Défense nationale : elle édicte des normes, homologue et contrôle. Une Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) a pour vocation première de veiller et d'alerter sur les violations touchant les données personnelles, et de vérifier que celles-ci soient stockées conformément aux dispositions légales elle peut à cet effet ordonner des contrôles.
Tout au long de l'épisode des fuites touchant Avito ainsi que les départements de l'Éducation et l'Enseignement supérieur, on aura surtout noté le long silence de la CNDP. Aucune alerte n'a à ce jour été adressée aux usagers. Ce 20 décembre au soir, soit deux semaines après la première fuite, la CNDP publie son premier communiqué. La commission y indique avoir pris contact avec « le ou les responsable(s) de traitement concerné(s) ainsi qu’avec la ou les source(s) de l’information publiée », afin « d’enrichir l’instruction du dossier et de mieux identifier la situation et les responsabilités juridiques des différents intervenants ». En insistant sur l'autorité à l'origine de la prise de contact — la CNDP — et sur l'événement déclencheur — la parution de l'information dans la presse et sur les réseaux sociaux — la CNDP laisse peu de doutes sur l'absence d'un signalement de la part du ministère...
La DGSSI, d'habitude plus communicative s'agissant des vulnérabilités logicielles, maintient le silence. Le maCERT (Moroccan Computer Emergency Response Team), le centre de veille, de détection et de réponse aux attaques informatiques de la DGSSI, n'a à ce jour publié ni alerte incident, ni post-mortem. La fuite d'informations de 942 929 étudiants remonte pourtant au 6 décembre. La publication d'éléments informatifs sur les cyberattaques ne relève pas que de l'exercice de transparence : elle permet la circulation du savoir, et facilite le travail des administrateurs de bases de données qui, grâce aux cas d'étude mis à leur disposition, peuvent renforcer la sécurité des systèmes et éviter la reproductibilité des intrusions en colmatant les failles.
Il appartiendra aux experts de déterminer comment des serveurs gouvernementaux ont-ils pu souffrir d'autant d'attaques en si peu de temps. Mais d'ores et déjà, nous pouvons nous questionner sur l'approche générale adoptée par le Maroc : des audits de sécurité ont-ils régulièrement lieu ? La gestion des accès fait-elle l'objet d'un contrôle strict ? Les règles encadrant le stockage des données à caractère personnel et/ou sensible sont-elles respectées ? Enfin, les compétences externes sont-elles mobilisées comme il se devrait, en commanditant des tests d'intrusion à titre d'exemple ?
©️ Copyright Pulse Media. Tous droits réservés.
Reproduction et diffusions interdites (photocopies, intranet, web, messageries, newsletters, outils de veille) sans autorisation écrite.