Info

Piratage de la base Ariane du ministère des Affaires étrangères : quels sont les risques ?

Le ministère des Affaires étrangères a annoncé ce jeudi 13 décembre 2018 le piratage d'une partie de son service Ariane. Plus de 540 000 adresses mails, identité, et numéros de téléphones de "personnes à prévenir" inscrites dans le système par des voyageurs ont été copiées. Quelles sont les conséquences de ce "vol numérique" ?

Le site France Diplomatie a publié un communiqué sur son site, 8 jours après le piratage d'une partie de sa base de données Ariane, après avoir alerté la CNIL dans les 72h comme le RGPD (Réglement général pour la protection des données) l'y oblige :

"Le ministère de l’Europe et des affaires étrangères a mis en place depuis 2010 le service Ariane, permettant aux personnes prévoyant une mission ou un voyage à l’étranger de s’inscrire en ligne afin notamment de recevoir les informations relatives à la sécurité de leur déplacement. Des données personnelles enregistrées lors de l’inscription sur la plate-forme Ariane ont été dérobées. Ces données pourraient donner lieu à des utilisations détournées mais limitées dans leur effet puisque les renseignements ne comprennent pas de données sensibles, financières ou susceptibles de dévoiler les destinations des voyages déclarées dans Ariane."

Dans un tweet, Jérôme Notin, le Directeur Général du pôle Actions contre la cybermalveillance de la gendarmerie nationale est venu confirmer l'authenticité du mail du ministère des Affaire étrangères envoyé à une partie des usagers du service :

Quels risques et quelles conséquences ?

Comme le souligne le ministère, aucune donnée sensible n'a été copiée par les pirates, mais seulement des coordonnées de téléphone mobile, nom et prénom et adresse mail des "personnes à contacter" des comptes enregistrées dans Ariane. Le risque de piratage direct de comptes bancaires, ou d'autres services utilisés par les internautes est donc faible. Néanmoins un problème demeure :  les possibilités de manipulations par ingénierie sociale. 

Avec les adresses mails, il est probable que les pirates tenteront de piéger les personnes en contact, comme le journaliste spécialisé Guénaël Pépin, de NextInpact, le précise : "La première chose que feront les pirates à mon sens c'est une campagne d'ameçonnage (phishing) : ils envoient des mails en se faisant passer pour un opérateur, une banque ou n'importe quel magasin en ligne où il faut enregistrer une carte de crédit. Le principe est d'imiter un site connu de type e-commerce par exemple, où il faut entrer des informations bancaires." 

Les campagnes par courrier électronique sont fréquentes parce qu'il est assez facile pour des pirates de récupérer des adresses mails sur Internet, mais dans le cas du piratage d'Ariane, envoyer des liens pour piéger les usagers en passant par le numéro de téléphone mobile ouvre d'autres possibilités, ce que Guénaël Pépin souligne : "Le phishing par téléphone mobile via des liens envoyés en SMS risque d'être utilisé, et là aussi il y a des règles à respecter : les banques par exemple, ou Paypal, ne demandent jamais de redonner des informations par ce biais en envoyant des liens à cliquer. Par contre des fausses campagnes commerciales risquent d'être mises en œuvre via des textos et des liens vers des faux sites commerciaux."

Les pirates vont sûrement tester les adresses mails sur des sites avec des dictionnaires de mots de passe pour tenter de récupérer là aussi des informations. Que faire alors ?  La meilleure solution selon le spécialiste reste donc d'appliquer les méthodes classiques : changer tous ses mots de passe, en les allongeant et en n'utilisant jamais le même mot de passe sur chaque site. Pour ceux qui le peuvent, changer d'adresse mail, voire de numéro de mobile reste encore la meilleure solution, mais la démarche est lourde et administrativement compliquée. Et surtout : que tous ceux qui se sont inscrits sur Ariane préviennent les "personnes à contacter en cas de problème à l'étranger" que leur email et leur numéro de mobile sont connus de pirates informatiques…