Lire : l’HEBDOLETTRE n°114 – 24 déc. 2018
Edito de l’HebdoLettre n°114
Ariane perd un fil
Le 4 décembre dernier, je lançais un cri d’alarme depuis la tribune du Sénat : “Les administrations multiplient les programmes informatiques pour réaliser des économies, mais au détriment des investissements de cybersécurité.”
Le lendemain, le ministère de l’Europe et des Affaires étrangères (MEAE) se faisait dérober des données personnelles enregistrées par des Français voyageant à l’étranger sur sa plateforme Ariane, en l’occurrence les coordonnées des personnes à prévenir en cas d’urgence.
J’ai appris la nouvelle le 13 décembre, comme tout le monde, en lisant le communiqué de presse du MEAE. Pour le gouvernement, c’était la 3ème fuite de données de la semaine.
Sur injonction de la CNIL, le MEAE a dû envoyer un courriel aux 540.563 personnes concernées par la fuite pour les inciter à redoubler de vigilance dans les prochains mois face à des tentatives d’usurpation d’identité ou des campagnes de hameçonnage par SMS ou courriel.
Mais l’enfer est pavé de bonnes intentions. Comme les données personnelles des “contacts à prévenir en cas d’urgence” avaient été saisies dans Ariane par le voyageur, les victimes de la fuite n’ont généralement pas compris pourquoi ils recevaient ce courriel du MEAE. Joyeuse pagaille !
En qualité de rapporteur pour avis sur les crédits du programme 129 “Coordination du travail gouvernemental” (gestion de crises, cyberdéfense, renseignement), pour la commission des Affaires étrangères et de la Défense, j’ai donc naturellement voulu entendre les responsables de la sécurité informatique du MEAE et ceux de l’ANSSI, notre autorité nationale en matière de sécurité et de défense des systèmes d’information.
Ces auditions ont eu lieu au Sénat le 19 décembre, soit six jours après le communiqué de presse du MEAE. D’autres auditions suivront en janvier, et une communication sera ensuite présentée devant notre commission avec nos recommandations.
Nous avons appris le lendemain qu’en s’introduisant dans le système du gouvernement de la république de Chypre, des pirates ont eu accès aux mots de passe pour accéder à la base de données de l’Union européenne.
Une société de cybersécurité américaine avait révélé que le réseau diplomatique européen était piraté depuis trois ans selon des techniques utilisées par l’armée de Chine populaire. Les hackers auraient également infiltré les réseaux des Nations Unies et plusieurs ministères des Affaires étrangères et des Finances à travers le monde.
L’Union européenne a réagi en assurant que les communications classées “confidentielles” n’avaient pas été affectées.
Demain, au pied du sapin, des enfants vont ouvrir leurs cadeaux et découvrir parfois des poupées parlantes, des montres GPS, des petits robots intelligents, autant de jouets connectés fabriqués en Chine à bas coût qui posent de sérieux problèmes en matière de sécurité.
A titre d’exemple, dans le but de pirater un casino, des hackeurs se sont infiltrés par un thermomètre situé dans un aquarium et relié aux ordinateurs de la réception du casino.
Voilà pourquoi je souhaite que l’on associe à tout investissement en matière de programme informatique d’un ministère un “budget cybersécurité” adéquat pour le rendre durablement invulnérable. Découvrir l’HebdoLettre n°114