Des données sensibles dérobées lors d’une attaque informatique contre le Centre d’identificiation des matériels de la Défense

par Laurent Lagneau

À vrai dire – et c’est peut-être un tort – il est rare de se connecter tous les jours au site du Centre d’identification des matériels de la Défense (CIMD), chargé de la nomenclature et de l’identification des matériels français utilisés à l’étranger et ainsi que de ceux en provenance de pays non-Otan et utilisés en France.

Mais, la relative discrétion du site Internet du CIMD ne l’a pas préservé d’une attaque informatique revendiquée par un groupe disant appartenir au collectif Anonymous.

Les données ainsi dérobées ont ensuite été mises en ligne par les assaillants, qui affirment agir pour protester contre la prolongation de l’état d’ugence, la vente d’armes à l’Arabie Saoudite et les opérations françaises en Afrique. Des captures d’écran montrant l’interface d’administration du CMS (content management system) servant à gérer le site du CIMD ont également été diffusées.

Seulement, et comme le CIMD travaille en relation avec les industriels de l’armement et autres fournisseurs et sous-traitants, les informations obtenues par ce groupe lié à Anonymous sont, pour la plupart, confidentielles. Pour l’essentiel, il s’agit de coordonnées d’employés (surtout travaillant chez Thales) et, a priori, de mots de passe, d’adresses IP et d’identifiants.

« Cette fuite de données présente donc des risques pour les entreprises partenaires et les employés concernés, mais surtout pour le Ministère de la Défense dont des données internes ont été exposées », souligne la société de sécurité informatique CybelAngel, sur son blog.

Et ces informations, poursuit-elle, vont « probablement être utilisées par des acteurs malveillants, tels que des cybercriminels ou des services de renseignements étrangers », qui pourront cartographier les acteurs ayant des relations professionnelles avec le Ministère [de la Défense] et, par recoupement, construire des profils d’employés français travaillant à la fois dans des secteurs sensibles et au sein d’agences de sécurité nationale. » Ces derniers risquent d’être la cible de campagnes de spearphishing ou bien encore d’opérations d’espionnage à « grande échelle. »

En attendant, le site du CIMD a été mis hors service (un message disant qu’il est en maintenance s’affiche en page d’accueil).

Cette affaire rappelle celle de l’attaque particulièrement élaborée qui visa, en 2013, le site du Service historique de la Défense (SHD). Ce dernier, dont la base de données fut compromise, avait été mis hors service pendant des mois. En pleine opération Serval, à l’époque, les soupçons se portèrent sur la mouvance jihadiste.

Le portail Internet du ministère de la Défense est assez régulièrement la cible de cyberattaques. Généralement, le mode opératoire est celui du déni de service (DDoS), qui consiste à « bombarder » un serveur de requêtes afin de perturber son fonctionnement. Le collectif Anonymous a ainsi été derrière celle menée en janvier 2015 pour protester contre la mort du militant zadiste Rémi Fraisse.

Plus récemment, le même mouvement a revendiqué une autre attaque DDoS avant visé, début février, le site de l’Agence nationale de la sécurité des systèmes d’information (Anssi), qui venait de lancer une campagne pour recruter une centaine d’experts d’ici 2017.