Antonioguillem - stock.adobe.com
Compromission de comptes d’allocataires : que comprendre de ce que dit la CAF
La Caisse nationale des allocations familiales a enquêté à la suite d’allégations de piratage de ses infrastructures IT par le groupe LulzSec. Avec des résultats confortant ses affirmations initiales.
Y a-t-il eu attaque de pirates informatiques contre le système d’information de la Caisse nationale des allocations familiales ? En toute vraisemblance, non. Mais comment se fait-il que plusieurs milliers de comptes d’allocataires aient été compromis ? Un piratage massif ? Là encore, vraisemblablement pas. Mais alors, que s’est-il passé ?
Que dit la CAF ?
Dans son communiqué de presse du 23 février, la Caisse fait état d’une « violation de données » avérée. Stricto sensu, l’affirmation est justifiée puisque « plusieurs milliers de comptes allocataires ont été visités de manière illégitime ».
Dans le même temps, la CAF l’assure et le répète : « il n’y a aucune faille de sécurité sur le site caf.fr, qui n’a aucunement été piraté ». Dans ce cas, comment ces visites illégitimes ont-elles été possibles ?
La Caisse indique que « des personnes malveillantes se sont connectées à des comptes d’allocataires avec leurs mots de passe réels, volés et “mis à disposition” sur le “darkweb” ». Qu’est-ce que cela peut-il bien vouloir dire ?
Des milliers de comptes en accès libre
Lorsque la revendication de LulzSec est apparue, les données de Hudson Rock faisaient état de 47 530 identifiants de comptes d’allocataires de la CAF compromis. Recorded Future en comptait plus de 15 000 pour la seule interface d’authentification du site Web de la Caisse.
D’où viennent ces chiffres ? Ils sont issus de logs de maliciels dérobeurs diffusés notamment sur des chaînes Telegram spécialisées, gratuitement, et sans protection aucune.
Au total, ces « fuites », s’il convient de les désigner ainsi, ont concerné plus de 43 millions d’identifiants volés à des internautes français en 2023, avec ces logiciels malveillants appelés infostealers. En moyenne, selon Recorded Future, il faut compter 60 comptes par ordinateur compromis.
Que sont ces logs ?
Ces infostealers sont donc des logiciels malveillants spécialisés notamment dans le siphonnage des identifiants – le couple nom d’utilisateur/mot de passe – stockés dans les navigateurs Web.
Pour prendre un peu la mesure de la menace, nous avons compté :
- plus de 5 060 machines compromises le 30 octobre 2023,
- plus de 3 460 machines compromises le 31 octobre,
- plus de 2 560 machines compromises le 1er novembre,
- plus de 4 300 machines compromises le 2 novembre.
Et non seulement ces identifiants peuvent être siphonnés à l’insu de l’internaute par un infostealer, mais il n’est pas rare qu’ils le soient simultanément par deux, trois ou quatre d’entre eux. C’est dû à la manière dont ils sont distribués par les cybercriminels. Et ils parviennent encore trop souvent à être très furtifs.
Il apparaît donc fortement possible que LulzSec ait collecté et consolidé de nombreux logs pour en extraire des identifiants d’allocataires de la CAF. Mais rien ne dit que les visites ne soient attribuables qu’à un seul acteur malveillant, et encore moins que LulzSec ait effectivement procédé à une telle consolidation/extraction d’identifiants au-delà des seuls 4 comptes pour lesquels le collectif a publié des captures d’écran.
Un phénomène redoutable
L’exploitation du butin d’infostealers par des cybercriminels est un phénomène connu et fréquent. Ainsi, début décembre 2022, le ministère de l’Enseignement supérieur et de la Recherche avait activé la cellule opérationnelle de crise cyber (COCC), embarquant notamment l’Agence nationale de la sécurité des systèmes d’information (Anssi) et le CERT-Renater.
Les détections de compromissions d’ordinateurs personnels et postes de travail par des infostealers, s’étaient multipliées. Fin novembre 2022, une note de France Universités faisait le point sur la menace, tout en éclairant sur le risque que font peser les infostealers, en illustrant avec l’attaque subie par Toulouse INP au mois de septembre précédent et ayant débouché sur le déclenchement du rançongiciel AvosLocker. Depuis, la menace n’a pas reculé et les infections se poursuivent à un rythme soutenu.
Le 19 février dernier, un groupe a par ailleurs annoncé, sur X (anciennement Twitter) notamment, avoir consolidé les identifiants de plus de 340 000 comptes Orange France, à partir de logs.