La Commission européenne annonce avoir été victime d'une intrusion en fin de mois dernier. Les hackers on pu s'infiltrer au sein du système de gestion des appareils mobiles. L'incident a permis aux attaquants d'accéder potentiellement à des noms et numéros de téléphone du personnel.
CERT-EU, l'équipe d'intervention informatique chargée de défendre les institutions de l'Union européenne, a repéré une activité suspecte le 30 janvier. L'intrusion visait l'infrastructure de gestion des terminaux mobiles (MDM) utilisée par la Commission pour administrer les smartphones et autres appareils fournis à son personnel.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Une enquête en cours
En entreprise, les systèmes MDM jouent un rôle central dans la sécurité des parcs informatiques. Ils permettent aux équipes IT d'imposer des politiques de sécurité (par exemple le géofencing, la désactivation de l'appareil photo, les règle d'applications tierces…), d'installer des logiciels à distance (comme un intranet ou les mises à jour de l'OS) et de verrouiller ou effacer un téléphone en cas de perte ou de vol. Puisque ces outils disposent de privilèges administratifs étendus et sont au cœur du réseaux, ils sont bien entendu des cibles de choix pour les cybercriminels. L'intrusion aurait permis d'accéder à des noms et numéros de téléphone de certains membres du personnel.
La Commission annonce avoir activé immédiatement ses procédures de réponse en cybersécurité après l'alerte de CERT-EU. L'incident a été contenu et le système nettoyé en neuf heures. Bruxelles précise qu'aucun terminal mobile n'a été compromis durant l'attaque et que les mesures prises ont permis de limiter l'exposition des données.
Le timing est un peu ironique. L'incident intervient alors que l'exécutif européen pilote une refonte ambitieuse des règles de cybersécurité dans l'Union avec la directive NIS2 et le Cyber Resilience Act, deux textes censés renforcer la protection des organisations publiques et privées. La Commission n'a pas précisé le nombre d'employés concernés, la méthode d'intrusion utilisée ni l'identité des attaquants. L'enquête approfondie permettra peut-être de déterminer l'ampleur exacte de l'exposition des données et d'identifier d'éventuelles vulnérabilités exploitées.
La Commission européenne n'en est pas à sa première cyberattaque. En mars 2011, l'institution avait subi une intrusion sérieuse et ciblée qui avait contraint les équipes IT à suspendre l'accès à la messagerie et à l'intranet, obligeant le personnel à modifier ses mots de passe. Un porte-parole avait alors indiqué qu'il n'était "pas inhabituel que la Commission soit la cible des pirates". Dix ans plus tard, en mars 2021, la Commission et d'autres institutions de l'UE ont de nouveau été victimes d'une intrusion affectant leurs systèmes informatiques, sans preuve de compromission majeure de données à l'époque. Plus récemment, la Commission a enquêté sur une violation de son projet Cybersecurity Atlas après la mise en vente d'une copie de la base de données backend du site. CERT-EU a recensé plus de 1 432 incidents de sécurité visant les organisations de l'UE en 2020, le chiffre le plus élevé en dix ans
