vendredi, juin 19, 2026
Récents :
Des cybercriminels piratent les données GSM des agents de la Sûreté de l'État.
Belgique

Des cybercriminels piratent les données GSM des agents de la Sûreté de l’État.

Depuis mai 2025, la société américaine de cybersécurité Ivanti publie des alertes signalant la découverte de vulnérabilités à divers niveaux de gravité dans un de ses produits. La Sûreté de l’État a constaté que des cyberpirates avaient exploité ces failles pour accéder aux données de téléphonie et de courrier électronique des GSM de fonction, sans que les informations sensibles du service de renseignement aient été compromises.


Les alertes émises par la société américaine de cybersécurité Ivanti depuis mai 2025 sont rédigées en langage technique et signalent à ses clients la découverte de plusieurs vulnérabilités touchant l’un de ses produits, classées comme « moyennes » à « critiques ».

Les alertes indiquent des risques tels que : « Une faille de sécurité permet aux attaquants d’accéder à des ressources protégées » ou encore « une injection de code permet aux attaquants d’exécuter du code à distance sans authentification« .

La Sûreté de l’État, comme d’autres institutions à travers le monde, utilise les services d’Ivanti pour son logiciel Endpoint Manager Mobile (EPMM), qui sécurise les appareils mobiles de ses agents et gère les droits d’accès au système.

En examinant son infrastructure informatique ces derniers mois, la Sûreté a découvert que des cyberpirates avaient exploité ces vulnérabilités pour accéder aux données de téléphonie et de courriel des téléphones de fonction. Ils ont réussi à atteindre le stockage de ces informations.

Les données des personnes contactées par les membres de la Sûreté via ces appareils pourraient également avoir été compromises.

La Sûreté de l’État n’a pas voulu répondre aux questions de la RTBF concernant les conséquences de ces incidents.

Sur son site internet, le centre pour la cybersécurité Belgique (CCB) prévient que « des acteurs malveillants » exploitent la vulnérabilité pour « exécuter des commandes pour collecter et exfiltrer des données« .

Ivanti, dans un document destiné à aider les équipes de sécurité à évaluer l’impact des vulnérabilités détectées, indique que des informations potentiellement accessibles aux cybercriminels incluent des éléments tels que le nom de famille, le prénom, le numéro de téléphone, l’adresse électronique, l’identifiant du téléphone, ou encore la position GPS de l’appareil.

L’exposition de telles informations suscite des préoccupations, car l’analyse de ces données pourrait donner à un service étranger ou à un groupe hostile des informations précieuses sur le service de renseignement belge, ses effectifs et son organisation.

Cependant, selon nos sources, les hackers n’ont jamais eu accès au réseau interne du service de renseignement, où circulent des données confidentielles et (très) secrètes. Les informations les plus sensibles pour la protection du pays, transmises par des voies à sécurité renforcée, semblent donc être restées intactes.

Les agents du renseignement sont conscients des risques liés à l’utilisation des téléphones et des courriels. Par exemple, aucun contact n’est établi avec des sources humaines à partir d’une adresse pouvant être identifiée comme liée au service.

Plusieurs sources signalent que la Sûreté de l’État a pris des mesures suite à ces incidents, bien qu’aucune d’elles n’ait précisé la nature des actions entreprises. Dans son avertissement concernant les failles d’Ivanti EPMM, le CCB recommande notamment de corriger toutes les failles présentes sur les dispositifs et de modifier tous les mots de passe.

Des agences, y compris l’agence américaine de cybersécurité et de sécurité des infrastructures (CISA), rapportent que des activités d’exploitation de certaines failles d’Ivanti EPMM ont été détectées depuis le 15 mai 2025. Les cybercriminels ont ciblé des secteurs critiques comme les services publics, les télécommunications, l’aéronautique, la finance et la sécurité, surtout en Europe.

Certains médias technologiques et entreprises de sécurité relient l’exploitation des failles d’Ivanti à un groupe d’espionnage identifié sous le nom de UNC5221, soupçonné de lien avec la Chine. Ce même acteur avait déjà été mentionné l’an dernier lorsque la RTBF révélait qu’une cyberattaque contre le Service Public de Wallonie avait été causée par une vulnérabilité d’un autre produit Ivanti.

Actuellement, il n’est pas possible de relier l’intrusion subie par la Sûreté de l’État à un groupe spécifique, et l’origine des données volées ainsi que leur utilisation prévue restent floues.

Interrogé sur l’ouverture d’une enquête, le parquet fédéral n’a pas répondu. Le Comité R, chargé du contrôle des services de renseignement et de sécurité, a également refusé de commenter.

Ce n’est pas la première fois que la Sûreté de l’État fait face à des cyberattaques. Entre février 2021 et mai 2023, un groupe de hackers chinois aurait accédé à environ 10 % des courriels entrants ou sortants via le serveur externe de la Sûreté, rapportait le quotidien Le Soir. Ces hackers avaient exploités une faille dans un logiciel de sécurité de la société Barracuda.

Les données sensibles de la Sûreté, échangées sur un serveur interne, n’avaient pas été compromises. Cependant, des données personnelles, y compris des documents d’identité, pourraient avoir été volées à l’époque.

Malgré certaines similitudes, aucune connexion n’a été établie entre l’attaque de 2021-2023 et celle de 2025-2026.