Des hackers s’attaquent à des sous-traitants de l’Armée 24 février
Ha ! Ha !
Eh oui, voilà, c’est ça.
Je suis fatiguée mais suis toujours.
Anonymous publie des informations confidentielles de sous-traitants de l’armée
Le Monde.fr | 23.02.2016 à 13h13 • Mis à jour le 24.02.2016 à 14h29 | Par Nathalie Guibert et Damien Leloup
Un site lié au mouvement informel Anonymous a publié lundi 22 février une série de documents se présentant comme des extraits de la base de données d’un sous-site du ministère de la défense, le Centre d’identification des matériels de la défense (CIMD). Cet organisme est chargé de la nomenclature et de l’identification des matériels utilisés par l’armée, en relation avec l’OTAN, et est donc en contact avec de nombreux sous-traitants, prestataires et fournisseurs.
Les documents publiés en ligne dévoilent des noms, titres, numéros de téléphone et adresses e-mail de nombreuses personnes dans des entreprises travaillant pour la défense – on y trouve par exemple les coordonnées de plus de 300 employés de Thalès. Une partie des informations est ancienne, avec des données remontant à 2004, mais certaines sont très récentes – mi-février 2016 –, et l’authenticité des documents fait peu de doute. Un site lié à Anonymous a également publié des images présentées comme des captures d’écran de l’interface d’administration du site.
Protestation contre l’état d’urgence et la vente d’armes à l’Arabie saoudite
« Les fichiers publiés en ligne contiennent relativement peu de données, environ 10 000 lignes de texte, mais ces informations sont sensibles, notamment parce qu’elles peuvent servir pour mener des attaques ciblées », note Damien Damuseau, de l’entreprise de sécurité informatique Cybelangel, qui a repéré la diffusion des documents. Les informations de ce type servent souvent de base à des attaques plus élaborées, visant quelques personnes-clés dans une entreprise, pour tenter d’installer un virus informatique sur leur machine.
Dans un court message accompagnant les documents, Anonymous explique avoir piraté ce sous-site du ministère de la défense pour protester à la fois contre la prolongation de l’état d’urgence en France, les ventes d’armes dans le monde – et notamment les ventes d’armes par la France à l’Arabie saoudite – et l’action de l’OTAN. Le site Web du CIMD est actuellement en maintenance.
Le ministère de la défense n’a pas communiqué de détails sur l’attaque – l’Agence nationale pour la sécurité des systèmes d’information (ANSSI) a été alertée, mais l’enquête sera menée par les services spécialisés de l’armée. Des sources internes indiquent que cette intrusion, avec extraction de données non confidentielles sur des adresses appartenant à des fournisseurs du ministère, n’est pas d’une gravité significative : elle relève plus du coup de communication, et il n’est d’ailleurs pas certain selon ces sources que ce soit vraiment le groupe Anonymous qui en soit responsable.
Mais l’évènement est préoccupant car le CIMD est une structure qui sert à codifier les matériels de la défense selon les normes OTAN – il dresse une sorte de liste de critères de qualité pour les entreprises qui concourent aux marchés de défense – et abrite donc les informations des prestataires qui le consultent. Leur vol sur un site de la défense française n’est pas une bonne affaire pour la confiance. Il s’agirait d’une opération classique de piratage, menée après un repérage qui a fini par « pêcher » une vulnérabilité du site. Aucune information confidentielle n’a été dérobée, ni aucune opération militaire atteinte, puisqu’il s’agit d’un site Internet, donc situé hors des réseaux classifiés de la défense. Aucune autre attaque concomitante n’a été détectée ce jour sur d’autres sites ou réseaux du ministère.
Lire aussi : Anonymous publie des données sur 1 400 participants de la COP21
- Damien Leloup
Journaliste au Monde Suivre Aller sur la page de ce journaliste - Nathalie Guibert
Correspondante défense Suivre Aller sur la page de ce journaliste
Anonymous pirate un sous-site du ministère de la Défense
Lundi soir, un sous-domaine du site du ministère de la Défense a été infiltré par des hackers de la mouvance. Ils ont publié des « leaks » tirées de six bases de données.
Des hackers de la mouvance Anonymous revendiquent le piratage de plusieurs bases de données du ministère de la Défense. Des informations confidentielles extraites d’un sous-domaine du ministère (cimd.interarmees.defense.gouv.fr) ont fuité, lundi soir, sur un site d’information participatif, qui compte parmi ses visiteurs réguliers des activistes du net (hacktivistes) ainsi que des internautes djihadistes.
Repérées mardi par l’entreprise de sécurité informatique Cyberblog, ces « leaks » (données extraites) proviennent d’un sous-site du gouvernement. L’organisme en question, le CIMD, est chargé de la classification du matériel militaire tricolore. Il est en lien avec l’Otan et de nombreux sous-traitants de l’armée.
Que dévoile cette infiltration ? Elle expose 51 tables de données (issues de 6 bases de données piratées), desquelles ressortent de nombreuses informations confidentielles, comme les identifiants, noms, adresses mails et numéros de téléphones d’une longue liste de fournisseurs de l’armée française. Cyberblog en relaye une partie, avec masquage :
Outre ces données internes, les pirates publient en ligne des informations sensibles qui touchent à la sécurité informatique du ministère. Parmi elles, des adresses IP locales, accompagnées des codes pour s’y connecter. Sont également étalés les identifiants et mots de passes permettant d’ouvrir le serveur SQL (qui héberge la base de donnée piratée), ainsi que des informations sur le serveur FTP (qui contient les fichiers du sous-domaine). Mercredi matin, les leaks n’étaient plus accessibles.
Protestation contre l’état d’urgence
Les hackers ont divulgué les étapes de leur infiltration. Par exemple, une succession de captures d’écran indique - fait guère surprenant – que les flibustiers ont utilisé le navigateur Tor (conçu pour consulter les pages web sans être tracé, via une structure en oignon). Quelques screenshots de l’espace administratif du sous-domaine de la Défense accréditent la thèse de l’authenticité de l’infiltration :
La documentation annexe (des liens qu pointent vers France24 et Amnesty) insinue que l’opération a été menée en guise de protestation contre la prolongation de l’état d’urgence en France, le commerce d’armes, et l’action de l’Otan. Ces annexes indiquent notamment que la France est le deuxième plus grand marchand d’armes au monde, juste derrière la Chine. Les hackers font également référence au groupe français Thalès, classé 10e plus grand groupe industriel axé sur le matériel de défense – et dont les coordonnées de 300 salariés sont dévoilées. Des motivations qui n’étonnent pas : les Anonymous sont réputés pour être anti-sécuritaires et anti-militaristes.
Mercredi matin, le ministère de la Défense n’avait pas encore commenté cette attaque.
Paul Conge
Anonymous : l’armée française confirme le piratage d’un sous-site de la Défense
Un sous-site du ministère de la Défense a été piraté par des personnes aux revendications « proches de celles d’Anonymous » . L’armée indique que selon leurs premières informations, les données extraites n’étaient pas confidentielles.
Vers 20 heures lundi soir, un sous-site du ministère de la Défense a été piraté par des personnes aux revendications « proches de celles d’Anonymous », indiquait la start-up Cybelangel spécialisée dans la sécurité informatique. Ce sont alors des milliers d’informations provenant de la base de données du Centre d’identification des matériels de la défense (CIMD), qui ont été dérobées. L’organisme est habituellement chargé de l’identification et de la normalisation des matériels français utilisés à l’étranger.
Sur le site, « on trouve des informations sur les entreprises, des informations sur les employés des entreprises qui se sont connectés à cette plate-forme, des noms de mission… », indique Damien Damuseau, expert en sécurité pour Cybelangel.
Les informations concernent parfois de très grandes sociétés françaises est sur la plate-forme et même l’identifiant et le mot de passe permettant d’accéder au serveur utilisé pour mener à bien le piratage est dévoilé.
Ainsi, d’autres attaques pourraient encore voir le jour. De son côté, le site Internet du CIMD est toujours inaccessible officiellement « en raison d’activités de maintenance ».
L’équivalent d’une carte de visite
L’armée française confirme bien le piratage du site du CIMD mais reste prudent : « Vraisemblablement, une faille a été trouvée », indique le colonel Gilles Jaron, porte-parole de l’état-major des armées, « Il y a eu extractions des données, on les retrouvent aujourd’hui sur Internet, mais ce que l’on constate à ce stade, c’est qu’il s’agirait de données professionnelles qui ne présenteraient pas de caractères confidentielles, c’est un constat à prendre avec prudence… »
Le site du CIMD a vocation à servir d’interface entre le ministère et d’autres entreprises. Du coup, pour s’y connecter, il faut entrer des informations qui serait « l’équivalent de celles que l’on trouvent sur une carte de visite ».
Le boulet et la cuirasse
Les données ont été publiées sur un site de partage d’information « habituellement utilisé par les hacktivistes et certains acteurs jihadistes ». Pour justifier le vol de ces documents, le collectif qui se prétend d’Anonymous indique vouloir protester contre la prolongation de l’état d’urgence en France et les ventes d’armes dans le monde.
Une telle fuite de données est dommageable pour le ministère de la Défense sur la plate-forme d’une structure qui codifie les matériels de la défense selon les normes de l’Otan et est utilisée par de nombreuses entreprises. « C’est censé être une interface de confiance », dit Damien Damuseau. Mais pour le colonel Jaron, « La lutte est permanente entre le boulet et la cuirasse, et la cuirasse a démontré une faille. Lorsque vous êtes face à quelqu’un qui cherche à pénétrer un site, vous pouvez vous retrouver dans une situation où ces gens-là font jouer une sorte de moteur de recherche où ils vont scanner des sites à la pelle et vont trouver une faille ». Ainsi, l’attaque pourrait avoir été dirigée vers le site de la CIMD simplement parce qu’il ne s’agissait pas d’un sous-site avec un réseau durcit.
Pourtant, avec les données présentes sur le site, il serait possible de cartographier les entreprises qui travaillent avec le ministère de la défense, ou analyser ces lignes de textes – à peu près 10.000 - à des fins d’intelligence économique, dit la start-up Cybelangel. Des coordonnées de 300 salariés Thalès seraient notamment présents sur le site.
De plus, la fuite intervient quelques jours seulement après qu’un collectif Anonymous a annoncé une attaque par déni de service sur le site internet de l’Agence nationale de sécurité des systèmes d’information (Anssi), rattachée au Premier ministre via son affiliation au Secrétaire général de la défense et de la sécurité nationale.