La plateforme d'échange de l'État, HubEE, notamment utilisée par Service-public.gouv.fr, a subi une cyberattaque. La direction interministérielle du numérique (DINUM) confirme vendredi la fuite de 160 000 documents administratifs contenant des données sensibles.
La direction interministérielle du numérique (DINUM) a annoncé ce vendredi 16 janvier avoir détecté une intrusion sur HubEE, sa plateforme d'échange de documents administratifs. La cyberattaque a été repérée le 9 janvier, mais les hackers avaient déjà eu le temps d'aspirer des dizaines de milliers de dossiers. L'incident, nouvelle brèche de sécurité majeure dans l'administration française, a permis aux hackers d'infiltrer des milliers de dossiers d'usagers. Mais attention, contrairement à ce qui a été annoncé un peu partout, ce n'est pas Service-public.gouv.fr qui a été piraté !
Une faille dans le cœur du système administratif français
HubEE, vous ne connaissez probablement pas son nom. Pourtant, cette plateforme traite vos données à chaque fois ou presque que vous effectuez une démarche en ligne auprès de l'administration. Elle sert de tuyau numérique entre différents services de l'État, et fait circuler les documents nécessaires aux procédures dématérialisées proposées notamment sur Service-public.gouv.fr.
Les attaquants ont eu accès à environ 70 000 dossiers, représentant un total de 160 000 documents. Selon la DINUM, certains contiennent des données personnelles. Le post de l'expert en cybersécurité Clément Domingo, qui relayait la veille le courrier électronique envoyé aux usagers concernés, mentionne des « données d'identification et le cas échéant de pièces justificatives produites à l'appui » des demandes administratives.
Dès la découverte de la brèche le 9 janvier, les équipes techniques de la DINUM ont bloqué l'attaquant et renforcé les mécanismes de sécurité. Il a fallu trois jours de travail pour sécuriser complètement la plateforme, qui a été remise en service le 12 janvier. L'urgence était de colmater la faille avant d'évaluer précisément l'ampleur des dégâts.
Notons que la DINUM a imposé une réinitialisation générale des mots de passe pour tous les utilisateurs de HubEE. L'authentification à double facteur via application mobile devient obligatoire pour les comptes administrateurs, comme l'a appris Clubic. Des mesures qui arrivent après la compromission, comme pour le ministère de l'Intérieur, mais qui visent à empêcher toute nouvelle intrusion.
Des milliers d'usagers exposés, quatre administrations en première ligne
Quatre directions ministérielles sont particulièrement concernées par cette fuite de données. Il y a la direction de l'information légale et administrative (DILA), la direction générale de la cohésion sociale (DGCS), la direction générale de la Santé (DGS) et la Caisse nationale des allocations familiales (CNAF). Ces organismes travaillent désormais avec la DINUM pour organiser l'information des usagers impactés.
La procédure habituelle des incidents majeurs a été enclenchée. La CNIL a reçu une notification officielle, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) a été alertée, le Premier ministre informé. Une plainte a été déposée auprès de la police judiciaire le 12 janvier. L'affaire est désormais entre les mains de la justice.
Point important, à ce jour, les données exfiltrées n'ont pas été publiées par les pirates. La DINUM a mis en place une veille active pour surveiller d'éventuelles fuites ou tentatives d'exploitation. L'organisme présente ses excuses aux usagers impactés et les invite à la vigilance, notamment face aux tentatives de phishing qui pourraient exploiter les informations dérobées lors de cette intrusion. Les représentants de la DILA informent d'ailleurs Clubic que les usagers qui ont été mis au courant d'une potentielle fuite de leurs données peuvent contacter le service juridique de l'administration, via l'adresse rgpd@dila.gouv.fr.
