Il ne se passe pas une semaine sans qu’une mairie, une administration ou un service public soit victime d’un hacker. Les atteintes ont pour noms hameçonnage, cybersquatting, attaque par déni de service…, et compromettent la sécurité des internautes. Les enjeux pour les services publics : anticiper les risques, protéger les données des citoyens et sécuriser les accès à leurs sites Internet, particulièrement en cette période de crise sanitaire et économique.
USURPATION D’IDENTITÉ
Ameli (assurance-maladie), la CAF, les impôts, le ministère de l’Intérieur, Pôle-Emploi, des mairies, et même l’Agence nationale de la sécurité des systèmes d’information (ANSSI), tous font régulièrement l’objet d’attaques visant leurs utilisateurs.
- Le faux email : communément appelée phishing ou hameçonnage, c’est la plus fréquente des techniques utilisées par les fraudeurs et les attaques auraient triplé depuis 2018 (1). Il suffit aux pirates d’attirer leurs victimes par email vers un site Internet qui ressemble à s’y méprendre à un site connu ou sur lequel elles sont inscrites, avec un motif les incitant à communiquer leurs données personnelles. Le message est incitatif, forcément, et surtout trompeur : « L’assurance-maladie vous écrit », « Une erreur en votre faveur a été détectée dans le calcul de votre impôt », etc. La suite du texte invite l’adhérent ou l’administré à cliquer sur le lien indiqué pour obtenir le remboursement correspondant à cette « erreur » en échange de ses coordonnées bancaires (RIB ou numéro de carte bancaire y compris le cryptogramme visuel) et autres infos personnelles. De nombreuses personnes se « font avoir » (environ 2 millions chaque année en France), notamment les moins familiarisées à l’utilisation d’Internet, et elles ne font ensuite plus confiance aux services des administrations concernées.
- Le faux nom de domaine : une tromperie, appelée cybersquatting, consiste à enregistrer un nom de domaine similaire ou identique (avec faute d’orthographe, par exemple) à celui d’un service public, dans le but de nuire à un tiers ou d’en tirer indûment profit. Un type d’usurpation d’identité tellement répandu sur Internet que certaines sociétés, domiciliées ou non à l’étranger, en ont fait leur spécialité. Ainsi récemment, le département de Saône-et-Loire a dû aller jusqu’à la Cour de Cassation pour récupérer les noms de domaine « saoneetloire.fr » et « saone-et-loire.fr », enregistrés par une société privée et susceptibles de créer un risque de confusion majeur pour l’administré (2).
- Le faux profil : Facebook, Twitter, Instagram… sur tous ces sites, les faux comptes prolifèrent. Un maire de la Martinique et certains de ses administrés en ont fait les frais, l’identité de l’élu ayant été usurpée via sa page Facebook. Après duplication du compte, il ne restait plus au fraudeur qu’à tenter de récolter des fonds. Sûr de son fait, il a même utilisé une fausse adresse email et le téléphone pour convaincre les interlocuteurs ciblés dont quelques-uns ont été abusés (3).
LES ATTEINTES TECHNIQUES
- La demande de rançon : celle-ci se produit suite à l’introduction d’un code malveillant, appelé rançongiciel. Le but est d’empêcher l’accès aux ordinateurs et aux données du service public visé tant qu’une rançon n’a pas été versée. Selon l’Agence nationale de la sécurité des systèmes d’information, « les rançongiciels représentent la menace informatique actuelle la plus sérieuse pour les entreprises et institutions, par le nombre d’attaques quotidiennes et leur impact potentiel sur la continuité d’activité. » Ainsi, en novembre 2019, la mairie de Nuits-Saint-Georges a vu son site bloqué par des hackers « furieux de ne pas obtenir les 2 000 euros qu’ils réclamaient ». Beaucoup plus grave, le 22 mars, l’Assistance publique-Hôpitaux de Paris est victime d’une attaque par déni de service en pleine « crise du coronavirus », paralysant ainsi mails, Skype et applications utilisées dans les hopitaux. Et ce n’est pas une première. Les services d’urgence et de réanimation du CHU de Rouen, ont eux aussi été victime d’une demande de rançon en 2019, et ont dû utiliser le système D pour éviter une catastrophe sanitaire (4).
- Le blocage total du site : il survient lorsqu’un système informatique est inondé de messages ou de demandes de connexion. Ce type d’atteinte, appelée communément attaque par déni de service, dite DDOS, peut paralyser le site web d’une administration publique. Même des sites tels que ceux des ministères de la Justice et de l’Intérieur, des impôts, de l’Elysée, de la Banque de France, pourtant très surveillés, en ont ainsi été victimes (5).
- La compromission des données confidentielles : elle survient lorsqu’un pirate récupère illégalement des données privées en exploitant les failles de sécurité d’un site web. Il faut alors identifier l’anomalie au plus vite pour effectuer les correctifs indispensables et assurer la sécurité des utilisateurs (6).
LES RECOMMANDATIONS EBRAND
Renforcer la confiance des usagers dans l’utilisation des services numériques est une absolue nécessité. Moyens humains et bonnes pratiques doivent y concourir.
1°) SURVEILLER LES ENREGISTREMENTS DE NOM DE DOMAINE
Souvent oubliée dans les stratégies de sécurité des administrations publiques, la surveillance des enregistrements de nom de domaine est pourtant devenue indispensable ! Largement utilisée par les entreprises du secteur privé, elle permet d’identifier les noms de domaine frauduleux, et les faux sites web pouvant être utilisés par toute personne malintentionnée. D’après les dernières études réalisées, 81 % des fraudes commence par l’enregistrement d’un nom de domaine qui ressemble à l’original (typosquatting). Dans 57 % des cas, ces noms enregistrés à des fins malveillantes sont utilisés pour lancer une attaque de phishing dans les 3 premiers jours qui suivent leur enregistrement (et dans 45% des cas, dans les 14 jours qui suivent l’enregistrement).
Surveiller les enregistrement de noms de domaine vous indique à quels risques une administration publique est exposée et permet à son service informatique de prendre des mesures concrètes et rapides visant à protéger en amont le personnel utilisateur contre les attaques de phishing (notamment en bannissant de son système d’information les noms potentiellement frauduleux détecté). Rappelons qu’ils sont la cible privilégiée des pirates qui cherchent à pénétrer un système informatique.
Cette surveillance permet également à un service juridique d’agir à l’encontre des fraudeurs, en demandant la suspension, le transfert ou la suppression des noms de domaine frauduleux.
2°) CRYPTER VOTRE SITE WEB AVEC UN CERTIFICAT SSL
Ce certificat de sécurité est aujourd’hui indispensable et requis par la plupart des navigateurs pour que les visiteurs puissent accéder à un site. Cette clé de cryptage sécurise votre site web et vos emails en activant le protocole HTTPS (protocole de sécurisation des échanges sur Internet). L’adresse URL du site sous la forme https://www, précédée d’un cadenas, assure à vos adhérents ou assurés que toutes les transactions effectuées sont chiffrées et confidentielles. Pour plus de détails sur les types de certificats SSL, consultez cette page explicative.
3°) SÉCURISER VOTRE INFRASTRUCTURE DNS ET ACTIVER LE DNSSEC
Il est fortement recommandé d’utiliser une infrastructure DNS reposant sur le routage ANYCAST qui offre une haute fiabilité, même en cas d’incident ou d’attaque DDOS. Il est aussi possible d’activer le protocole DNSSEC, qui permet de vous protéger contre les attaques de type « DNS Cache Poisoning » (7) et « Man-in-the-Middle » (8) et vous assure que vos utilisateurs ne seront pas redirigés vers un site trompeur. L’infrastructure DNS professionnelle proposée en standard par EBRAND répond au plus hautes exigences en matière de sécurité et de disponibilité (SLA 100%). Par ailleurs, elle permet la gestion automatisée des signatures DNSSEC en un seul clique, et ce directement depuis l’interface.
4°) VERROUILLER VOS NOMS DE DOMAINE
Le verrou de niveau registre (Registry Lock) sécurise les noms de domaine stratégiques de l’entreprise (celui du site web et des emails). Il permet de verrouiller les informations relatives à un nom (modification des serveurs DNS ou des contacts, transfert ou suppression) mais n’est disponible que dans certaines extensions. Le verrou anti-transfert au niveau du registrar doit quant à lui être activé par défaut sur tous vos noms de domaine.
5°) LIMITER VOS ACCÈS REGISTRAR
- La gestion des accès permet de donner à des utilisateurs différents des autorisations partielles et des privilèges limités à votre portefeuille de noms.
- L’authentification à deux facteurs (TFA/2FA) procure un niveau de sécurité complémentaire lors de la connexion au compte via un mot de passe qu’il faut compléter par un code unique généré sur votre smartphone.
- La limitation du réseau à une adresse IP spécifique ou à toute une série d’adresses IP appartenant à votre réseau. Seules ces adresses authentifiées pourront se connecter à votre compte et effectuer des actions.
- La politique d’application des mots de passe renforcée. Elle implique, tous les trois mois, un changement du mot de passe de l’ensemble des comptes. Les mots de passe doivent avoir une longueur minimale avec des caractères hétérogènes (lettres, chiffres, symboles). Cela permet d’éviter la répétition des mots de passe sur plusieurs plateformes ainsi que l’utilisation d’anciens mots de passe peu sûrs.
Ces fonctionnalités sont disponibles directement sur l’interface Registrar EBRAND.
6°) ACTIVER LA VALIDATION À 4 OU 6 YEUX
Lorsqu’un utilisateur tente d’effectuer une action, il doit obtenir l’autorisation d’un autre utilisateur préalablement désigné. De même, chaque fois qu’un domaine est sur le point d’être modifié, une autorisation (4 yeux) ou une double autorisation (6 yeux) sera nécessaire. Ce dispositif est particulièrement recommandé pour les noms de domaine stratégiques, c’est à dire ceux qui servent pour le site Web et les emails.
7°) TESTER LA FIABILITE DE VOTRE SITE
Une fois par an, il est recommandé de procéder à des tests techniques permettant de détecter les vulnérabilités du site web et d’en corriger les failles identifiées.
——–
Pour aller plus loin : SÉCURITÉ NUMÉRIQUE DES COLLECTIVITÉS TERRITORIALES : L’ESSENTIEL DE LA RÉGLEMENTATION
Sources :
(1) Les techniques de piratages les plus privilégiées en 2019
(2) Arrêt de principe de la cour de cassation du 5 juin 2019 sur le cybersquatting : décryptage et conseils d’expert
(3) Le nom d’un maire de Martinique utilisé dans une escroquerie sur internet
(4) Mairies, hôpitaux… : les services publics de plus en plus victimes de cyberattaques
(5) Gilets jaunes: ces entreprises et ministères visés par les hackers
(6) Site de l’assurance maladie: des failles de sécruité
Définitions :
(7) DNS Cache Poisoning : l’empoisonnement du cache DNS ou pollution de cache DNS (DNS cache poisoning ou DNS cache pollution en anglais) est une technique permettant de leurrer les serveurs DNS afin de leur faire croire qu’ils reçoivent une réponse valide à une requête qu’ils effectuent, alors qu’elle est frauduleuse. Une fois que le serveur DNS a été empoisonné, l’information est mise dans un cache, rendant ainsi vulnérables tous les utilisateurs de ce serveur. Ce type d’attaque permet, par exemple, d’envoyer un utilisateur vers un faux site dont le contenu peut servir à de l’hameçonnage (dans le cas du DNS, on parle de pharming) ou comme vecteur de virus et autres applications malveillantes.
(8) Man-in-the-Middle attack : l‘attaque de l’homme du milieu (HDM) ou man-in-the-middle attack (MITM), parfois appelée attaque de l’intercepteur, est une attaque qui a pour but d’intercepter les communications entre deux parties, sans que ni l’une ni l’autre ne puisse se douter que le canal de communication entre elles a été compromis. Le canal le plus courant est une connexion à Internet de l’internaute lambda. La question de l’établissement de ce canal sécurisé, se résout dans beaucoup de protocoles cryptographiques, comme SSL/TLS, par le biais de la cryptographie asymétrique.
——–
Par Raphaël TESSIER et Sophie AUDOUSSET pour EBRAND France.