Cyberattaque : Les villes représentent de très très belles cibles pour les pirates

Pirates à l’abordage des villes. Cela fait un bail qu’on ne compte plus sur les doigts d’une main, non même des deux, les collectivités françaises victimes de cyberattaques. Rien qu’en 2022, l’Agence nationale de la sécurité des systèmes d’information (Anssi) a traité 25 cas. Récemment, c’est Lille, dans le Nord, qui a été visée par le tristement célèbre gang Royal Ransomware. Longtemps épargnées par les pirates, les collectivités se pensaient à l’abri par le manque d’intérêt qu’elles estimaient représenter. Ce n’est plus le cas et le réveil a été brutal, imposant aux villes, départements et régions à faire de la cybersécurité une priorité.

Cela fait sept mois que la ville de Caen a été victime d’une attaque au rançongiciel et les stigmates du passage des pirates dans le système informatique municipal se font encore ressentir aujourd’hui. Notamment au niveau du site Internet de la commune depuis lequel le portail de la petite enfance et le compte association sont toujours inaccessibles. Pourtant, la préfecture du Calvados ne partait pas de rien puisqu’elle expérimentait au moment de l’attaque une solution d’antivirus de nouvelle génération, de type EDR, proposé par la société HarfangLab. « Notre logiciel a fait le boulot en détectant les prémices de l’attaque. Presque immédiatement, nous avons pu conseiller des actions à mettre en œuvre pour la bloquer », explique à 20 Minutes un ingénieur d’HarfangLab, présent au Forum international de la cybersécurité (FIC) à Lille.

« Adopter une bonne hygiène de sécurité »

Et si l’antivirus EDR a permis de limiter la casse, l’attaque a tout de même fait des dégâts collatéraux, notamment en empêchant l’utilisation des ordinateurs et les connexions au réseau pendant un certain temps. Car si l’utilisation de tels logiciels est une solution, ce n’est pas LA solution. Dans la foulée de cette cyberattaque, le préfet du département du Calvados a incité les élus locaux à se tourner vers des services existants proposés par la gendarmerie. « Pour les collectivités qui le demandent, nous réalisons des prédiagnostics cyber, pour tâcher de détecter les failles, les vulnérabilités des systèmes et des personnes », détaille à 20 Minutes le lieutenant Loïc Pessé, en charge de la prévention cyber au groupement de gendarmerie du Calvados.

Pionniers en France, les cybergendarmes du 14 dispensent aussi des formations : « Faire attention à ses mots de passe, y compris ceux pour les réseaux wifi, détecter les tentatives de phishing, les escroqueries à la fausse qualité », poursuit le gendarme. « Ce n’est que par la formation que les utilisateurs et les gestionnaires des réseaux pourront adopter une bonne hygiène de sécurité », renchérit l’ingénieur de HarfangLab.

Parce qu’il y a, outre le côté technique de la protection, une bonne dose de bon sens aussi : « Les pirates derrière Royal Ransomware peuvent accéder à un système informatique de plusieurs manières et celle que l’on voit la plus communément est via un email de phishing », assure John Fokker, chef des renseignements sur la menace du centre de recherches de l’entreprise de cybersécurité Trellix. Mais les pirates sont malins et les plus aguerris peuvent tomber dans le panneau : « Ce mail prend la forme d’un fichier HTML. Lors de l’ouverture du fichier HTML, un faux site Web apparaît, demandant à la victime de télécharger un fichier. Cela permet aux pirates d’accéder à l’appareil et à tous les autres qui y sont connectés », détaille l’expert.

« Nous avons refusé de payer la rançon »

Et quand le mal est fait, beaucoup n’ont que leurs yeux pour pleurer. On ne sait pas encore si tel est le cas pour Lille, même s’il est avéré que les pirates du groupe Royal Ransomware se sont emparés de plusieurs centaines de gigas de données. « Nous avons appris ces derniers jours que des données de la ville de Lille avaient été exfiltrées et publiées sur le darknet par Royal Ransomware. On peut imaginer que c’est parce que les pirates réclament une rançon à la ville qu’elle n’a probablement pas payée », ajoute John Fokker.

Au début de l’année 2021, une attaque au rançongiciel a frappé le système informatique de la ville d’Angers. « A l’époque, on construisait des systèmes en pensant que l’on n’était pas des cibles intéressantes pour les pirates », reconnaît le directeur des systèmes d’information (DSI) de la ville. Pour cette attaque, les données n’avaient pas été exfiltrées, mais seulement cryptées. « Nous avons refusé de payer la rançon parce que l’on disposait de multiples sauvegardes qui nous ont permis de restaurer le système », se souvient le DSI.

Le bilan qu’Angers fait de cette expérience, c’est qu’il faut y être préparé. C’est notamment le rôle du club de la sécurité numérique des collectivités (CSNC). Quand une nouvelle collectivité se fait attaquer, elle contacte celles qui ont déjà eu le tour. Le CSNC permet de formaliser ces échanges, « pour éviter de se retrouver seul quand ça arrive et partager les connaissances », nous explique-t-on. Des conseils sur la marche à suivre pour les victimes, mais aussi pour les collectivités encore épargnées. « Isoler ou filtrer l’accès au réseau selon les besoins, sectoriser au maximum les services pour éviter la contamination et, surtout, intégrer que la sécurité fait désormais partie intégrante du quotidien des directions des systèmes d’information », insiste l’association.