La Commission européenne fait face à la mise en ligne illégale d'une base de données issue du projet Cybersecurity Atlas, son organe qui recense les spécialistes cyber de la zone.
En matière de sécurité informatique, voilà un couac dont l'Union européenne aurait sans doute bien voulu se passer. Depuis quelques jours circule en effet une base de données rassemblant des informations provenant directement de l'Atlas européen de la cybersécurité, le Cybersecurity Atlas. Celle-ci a été postée sur un forum clandestin de cybercriminalité, spécialisé dans la revente de fichiers et données dérobés.
Une base remplie de contacts spécialisés dans la sécurité informatique
Avant toute chose, prenons conscience de ce dont nous parlons quand nous évoquons « l'Atlas européen de la cybersécurité ». Créé en 2018 par la Commission européenne, l'Atlas se matérialise en une plateforme ou en une sorte d'énorme liste de contacts ou annuaire permettant de cartographier et de catégoriser la collaboration entre les experts provenant du monde de la sécurité informatique, qu'ils soient issus de sociétés, d'institutions ou d'universités. Elle offre aux spécialistes de la cybersécurité l'opportunité d'élargir leur réseau de recherche et d'entrer en contact avec leurs pairs très facilement. La communauté européenne y trouve aussi son compte pour développer des projets ou offrir des réponses cyber.
La base de données piratée, dont nous parlions plus haut, comporte de très nombreuses données provenant d'entreprises spécialisées dans la cybersécurité, d'organisations gouvernementales de l'Union européenne, de centres de recherche ou même d'universités, nos confrères de Zataz évoquant même des adresses d'experts de l'OTAN ou de l'Aix-Marseille Université, qui pèse tout de même pour 80 000 étudiants et 8 000 personnels.
Les données dérobées et mises en vente vont, comme l'a constaté le média The Record, des noms d'utilisateur du site aux adresses électroniques, en passant par des détails sur des institutions, les adresses des organisations ou les noms complets des personnes reliées à la base de données, sans oublier des données de géolocalisation utilisées, si vous avez suivi, pour cartographier les acteurs contenus dans l'Atlas européen.
Scan des photos : Apple répond face à la controverse
Détail inquiétant : la base de données provient du back-end du site
Un peu comme pour les bases de données LinkedIn mises en vente sur le dark web, cette vente de données aurait pu être « amortie » par l'UE d'un point de vue communicationnel, puisque toutes les données recensées par le pirate sont publiques. En effet, la base de données de la Commission est accessible à tous les titulaires d'un compte sur le site Cybersecurity Atlas, aujourd'hui officiellement « en maintenance ».
Sauf que les données contenues dans la base, certes publiques, ne proviennent pas de ce que l'on appelle un scraping (une ponction de toutes les données d'une page Web, presque « à la main », pourrait-on dire). Elles ont en effet été extraites directement depuis la partie back-end de la plateforme. Autrement dit, le ou les attaquants semblent avoir eu un accès direct au système informatique de l'Atlas, ce qui pourrait potentiellement avoir des conséquences d'autant plus fâcheuses, comme la possibilité d'injecter et diffuser un logiciel malveillant. On ignore encore si le piratage se limite au seul prélèvement de la base de données.
Toujours en maintenance, on ignore quand le site sera de nouveau en ligne. Le Centre de veille, d'alerte et de réponse aux attaques informatiques de l'UE (CERT-EU) a de son côté ouvert une enquête après la publication de la base de données.
Sources : The Record, Zataz
Journaliste, chargé de l'actualité de Clubic. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM, école reconnue par la profession), pour écrire, interviewer, filmer, monter et produire du contenu écrit, audio ou vidéo au quotidien. Quelques atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la production vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et la musique :)
Lire d'autres articles
