BFM Business

Justice, impôts: un hacker alerte sur la vulnérabilité des sites Web gouvernementaux

-

- - Loic Venance - AFP

Un hacker qui officiait sous le pseudonyme de Dumpshell a été condamné ce mercredi 17 avril pour une cyberattaque du ministère de la Justice opérée en 2016. La manœuvre avait rendu le site inaccessible de longues heures durant. D'après lui, la sécurité de certains sites institutionnels laisse encore à désirer.

La justice a beau frapper tard, elle remonte généralement le fil dès qu'il s'agit de mettre la main sur les auteurs de piratages d'ampleur. Le responsable d'une cyberattaque à l'encontre du site du ministère de la Justice, en 2016, n'y aura pas échappé. L'homme de 36 ans, proche du mouvement hacktiviste des Anonymous depuis une dizaine d'années, comparaissait ce 17 avril auprès du tribunal de grande instance de Paris, d'après nos informations. Il écope de quatre mois de prison ferme avec aménagement de peine, et de 2.000 euros d'amende. 

Surnommé Dumpshell, ce charpentier de profession est accusé d'avoir "entravé le fonctionnement d’un système de traitement automatisé de données, en envoyant de multiples requêtes par le biais d’un programme malveillant", rendant ainsi le site du ministère de la Justice indisponible pendant près de vingt-quatre heures.

Le piratage faisait à l'époque suite à ceux des sites du Parti socialiste, de l'Assemblée nationale ou encore du garde des Sceaux de l'époque, Jean-Jacques Urvoas. Tous ont été revendiqués par Anonymous, dans une série de vidéos. Le collectif y voyait un moyen de protester contre la loi renseignement et la prolongation de l'Etat d'urgence souhaitée par le gouvernement de Manuel Valls.

Trois millions de requêtes

Pour rendre le site du ministère de la Justice indisponible, Dumpshell s'en est remis à une méthode classique: l'attaque par déni de service, qui consiste à saturer un site par un nombre gigantesque de requêtes artificielles. "Des serveurs à Nantes et à Paris ont de la sorte été mis hors service", précise-t-il auprès de BFM Tech. "L'équipe qui s'occupait de leur maintenance a dû les éteindre, pour éviter la propagation de l'attaque. Le site a donc mis vingt-quatre heures avant de réapparaître". 

Malgré les quelques connaissances techniques requises pour une telle attaque, l'identification et l'arrestation de Dumpshell tiennent à une simple panne électrique. "J’ai eu une coupure de courant au moment de l'attaque. Ma ligne était sécurisée mais ma box a redémarré. L’attaque s’est poursuivie et mon adresse IP [l'adresse électronique d'un internaute, ndlr] a été divulguée trois millions de fois... soit le nombre de requêtes lancées pour saturer les serveurs". Un indice en or qui aura conduit à son arrestation par la DGSI. 

Des sites "passoires"

Aujourd'hui, Dumpshell s'alarme de la vulnérabilité des sites ministériels et institutionnels aux cyberattaques. Malgré le piratage survenu en 2016, et le renforcement des dispositifs de sécurité que cet incident aurait pu occasionner, il qualifie le site du ministère de la Justice de "passoire", avançant que ses serveurs peuvent être mis hors d'état de nuire depuis un simple téléphone portable.

L'actualité lui donne malheureusement raison. L'un des derniers piratages de sites gouvernementaux en date reste celui du site du ministère des Affaires étrangères mi-décembre, et plus spécifiquement de sa base Ariane. Cette dernière permet à n'importe quel français d'inscrire les coordonnées de ses proches avant un départ à l’étranger, afin qu'ils puissent être contactés en cas d'urgence.

Y figurent les nom, prénom, numéro de téléphone portable et adresse mail de 540.000 personnes, comme le soulignait un communiqué diffusé à la suite de l'attaque. La cause du piratage reste encore à élucider.

Plus récemment encore, le blogueur spécialisé Damien Bancal repérait une fuite de données sur un site censé faciliter l'obtention d'une carte grise, et pourtant habilité par le Ministère de l'Intérieur. La base de données reprenant l'identité, l'adresse postale et le numéro de carte grise de 200.000 personnes a été dérobée pour être revendue en ligne.

"L’un des scenarios à redouter actuellement serait le piratage du site des impôts, à l'heure où l'ensemble des déclarations va se faire en ligne", anticipe Dumpshell. Depuis ce 10 avril, la déclaration d'impôts sur Internet est en effet obligatoire. La manœuvre concernera pas moins de 40 millions de contribuables. 

https://twitter.com/Elsa_Trujillo Elsa Trujillo Journaliste BFM Tech