Après la révélation par Bercy de l'accès illégitime aux données bancaires du fichier FICOBA, l'expert en cybersécurité Benoit Grünemwald rappelle les conséquences, ici graves, de ce qui est avant tout une faille organisationnelle, et non technique.
C'est l'un des fichiers les plus sensibles de l'administration française, et il a en partie été compromis. Le FICOBA, registre national des comptes bancaires géré par la Direction générale des Finances publiques (DGFiP), a été illégalement consulté à la fin du mois de janvier (les données de 1,2 million de titulaires de comptes ont pu être consultées), à partir du vol des identifiants d'un fonctionnaire, comme l'a révélé le ministère de l'Économie mercredi 18 février. Pour Benoit Grünemwald, expert chez ESET France, ce nouveau scandale pour l'État montre que les vraies failles ne sont pas toujours là où on les attend.
L'accès au FICOBA, une faille humaine plutôt qu'une brèche informatique
Benoit Grünemwald a raison de rappeler que l'accès au FICOBA n'est pas le fruit d'une vulnérabilité exploitée dans les serveurs de la DGFiP. L'attaquant a opté pour une méthode bien plus simple, en volant les identifiants d'un agent de l'État autorisé, pour se connecter comme si de rien n'était.
C'est ce qu'on appelle l'ingénierie sociale. Plutôt que de s'attaquer à un système informatique bien défendu, on cible l'humain derrière l'écran. Un mot de passe dérobé, et toutes les protections techniques deviennent inutiles. Les RIB, IBAN, identité, adresse postale et parfois identifiant fiscal de 1,2 million de titulaires de comptes étaient ici à portée de main du cybercriminel.
Benoit Grünemwald pointe les « limites en matière de gestion des identités, d'authentification et de contrôle des accès dans des systèmes complexes aux nombreux utilisateurs. » En clair, quand de nombreux agents issus de différents ministères accèdent à un même fichier sensible, la surface d'attaque s'élargit considérablement, et les risques avec elle.
Une réaction à la hauteur, mais de vraies lacunes organisationnelles
Après l'incident, la réponse des autorités a été, selon Benoit Grünemwald, à la hauteur, avec la restriction immédiate des accès, le dépôt de plainte, la saisine de la CNIL, et la mobilisation conjointe de la DGFiP, de l'ANSSI et du ministère de l'Intérieur. « Cette réponse coordonnée démontre un haut niveau de maturité », reconnaît l'expert.
Reste que cette maturité dans la réaction ne doit pas faire oublier la gravité de l'exposition. Les données compromises, rappelons-le, des coordonnées bancaires, identité, adresse, forment le presque parfait kit pour alimenter des fraudes financières et usurpations d'identité, avec des risques bien concrets pour les personnes concernées, qui seront notifiées dans les prochains jours, notamment par leur établissemet bancaire.
Le spécialiste d'ESET s'interroge enfin sur le ou les auteurs présumés. En France, les mis en cause sont parfois « très jeunes » et leur point commun est de contourner les protections en exploitant des failles organisationnelles plutôt que des vulnérabilités techniques. Un rappel que la cybercriminalité n'est décidément pas toujours l'affaire de génies du code, mais qu'elle peut faire de gros dégâts.
