Alors que les médias étaient en ébullition suite à une prétendue cyberattaque de la Caisse d’allocations familiales, il s’avère que la véritable cible était une plateforme liée au ministère des Sports. Plongée dans les coulisses d’un malentendu qui a agité la France entière.
Résumé en 3 points
- La CAF n’a pas été piratée ; le véritable objectif était une plateforme rattachée au ministère des Sports.
- Le groupe cybercriminel Dumpsec a exploité une faille pour dérober 22 millions d’enregistrements.
- Une guerre d’ego entre hackers a révélé l’ampleur de la fuite de données.
Confusion autour du piratage présumé de la CAF
Au cours d’un week-end mouvementé, une rumeur persistante s’est répandue dans les médias et sur les réseaux sociaux : la CAF aurait été victime d’un piratage massif, compromettant les données de 22 millions de Français. Toutefois, cette information s’est avérée fausse. En réalité, c’est un service sous la tutelle du ministère des Sports qui a été ciblé, provoquant une confusion généralisée.
Le récit de cette cyberattaque a été amplifié par un cybercriminel français cherchant à se faire remarquer. Ce dernier prétendait détenir des informations de la CAF, alors qu’il ne s’agissait que d’une manœuvre pour gagner en crédibilité.
La véritable cible : associations.gouv.fr
C’est une plateforme dédiée aux associations qui a été attaquée par le groupe Dumpsec. En simulant être une association légitime, les cybercriminels ont réussi à identifier une faille de sécurité et à extraire des millions de données en une seule nuit. Dumpsec a ensuite partagé publiquement son mode opératoire, soulignant leur sentiment d’impunité.
La fuite, qui date du 3 novembre, n’a été reconnue publiquement que plusieurs semaines plus tard. Cette révélation tardive est due à une rivalité entre cybercriminels, poussant Dumpsec à divulguer des preuves pour revendiquer la paternité de l’attaque.
Réaction du ministère des Sports
Le ministère a confirmé cette intrusion le 19 décembre. Il a reconnu une exfiltration de données et a pris des mesures pour limiter les dégâts. Un dépôt de plainte est prévu, et la CNIL sera informée dans les 72 heures. Environ 3,5 millions de foyers sont touchés, et le ministère s’engage à les informer et à leur fournir des recommandations de sécurité.
Cette situation met en lumière les vulnérabilités des systèmes numériques publics. Le hacker éthique Clément Domingo, connu sous le pseudonyme SaxX, insiste sur la nécessité de réagir pour éviter de nouvelles failles.
Contexte : le groupe Dumpsec
Dumpsec est un groupe de cybercriminels réputé pour ses attaques audacieuses. Actif depuis plusieurs années, il se distingue par sa transparence quant à ses méthodes, souvent publiées pour asseoir leur réputation dans le milieu cybercriminel. Leur dernier coup, bien que non revendiqué initialement, a mis en lumière les failles criantes des plateformes numériques gouvernementales. Cette attaque, bien qu’illégale, souligne le besoin urgent de renforcer la sécurité des données sensibles.