Le ministère de l'Intérieur a récemment été la cible d'une intrusion informatique qualifiée de « très grave » par Beauvau. Un jeune pirate de 22 ans, depuis arrêté, a réussi à s'introduire dans des systèmes névralgiques de la Police nationale. L'audition du ministre Laurent Nuñez devant la commission des lois du Sénat a levé le voile sur des circonstances pour le moins embarrassantes, mettant en lumière une faille béante dans la protection des données de l'État.
Comment une telle intrusion a-t-elle été possible ?
Le mode opératoire derrière cette cyberattaque est d'une simplicité déconcertante. Dans un premier temps, l'attaquant a pris le contrôle de plusieurs boîtes mail d'agents de la Police nationale. Une fois à l'intérieur, il a découvert que des mots de passe permettant d'accéder à diverses applications métier étaient échangés en clair. Cette pratique, qualifiée par le ministre de « défaut d’hygiène numérique », a offert une porte d'entrée royale au pirate.
Sans aucune autre barrière de sécurité, il a pu se connecter à sept applications différentes, dont le Fichier des Personnes Recherchées (FPR) et le Traitement des antécédents judiciaires (TAJ). L'absence totale de double authentification (2FA) sur ces portails a été le maillon faible décisif. Ce mécanisme, qui ajoute une couche de sécurité en demandant un code supplémentaire via SMS ou application, aurait très certainement bloqué l'attaque, même avec un mot de passe compromis.
Quelle est l'étendue des dégâts et des données compromises ?
Heureusement, l'assaillant n'a ni modifié ni détruit de documents. Cependant, il a réussi à exfiltrer des données sensibles, posant un risque majeur. Le bilan détaillé fait état de 72 fiches complètes et de plusieurs milliers de « sommaires » extraits du TAJ, qui compte 19 millions d'entrées au total. Pour le FPR, ce sont 23 fiches et 3 000 sommaires qui ont été dérobés, ainsi qu'une fiche Interpol.
Le ministre a précisé qu'aucun ciblage cohérent n'a été identifié dans les données volées, suggérant que l'objectif était la revente potentielle sur le darknet plutôt qu'une opération visant des individus spécifiques. Le jeune hacker a depuis été mis en examen et placé en détention provisoire pour « accès frauduleux en bande organisée ».
Quelles mesures ont été prises pour colmater la brèche ?
Face à cet incident majeur, la réaction a été immédiate. Le ministère a procédé à la réinitialisation de tous les mots de passe et à la suppression des comptes inactifs pour limiter les risques. La mesure la plus structurante reste cependant l'imposition de la double identification systématique sur toutes les applications qui figuraient sur le portail compromis.
Laurent Nuñez a toutefois tempéré l'enthousiasme des sénateurs, visiblement stupéfaits par cette négligence. Le déploiement de cette sécurité renforcée pour les 300 000 agents du ministère est un processus long, complexe et chronophage. Le ministre se défend de tout « relâchement », expliquant que la priorité avait été donnée à la sécurisation des systèmes liés aux Jeux Olympiques, laissant d'autres applications momentanément plus vulnérables.