Photo du site internet du ministère de l'Agriculture © Alexandre Boero / Clubic
Deux groupes cybercriminels, qui revendiquent être membres des Anonymous, disent avoir récupéré la base de données du ministère de l'Agriculture, avec des informations sensibles. Le ministère écarte, lui, toute compromission.
Ce week-end, les groupes Gloriamist et Lapsus se sont fendus d'un message collectif publié sur une application chiffrée après avoir infiltré la base de données du ministère de l'Agriculture, dont ils ont pu extraire un certain nombre de données. Les pirates, qui disent ne pas vouloir mettre en danger les Français, ont malgré tout divulgué une partie des informations glanées, un échantillon, ce mardi 23 avril 2024. Pourtant, le ministère a confirmé à Clubic n'avoir constaté aucune compromission.
Les pirates diffusent des données, pendant que le ministère écarte toute fuite ou intrusion
« Comme annoncé (…), nous avons divulgué 5% de la base de données du ministère français de l'Agriculture (agriculture.gouv.fr) », écrivent les deux groupes de hackers ce mardi. Ces derniers, qui seraient affiliés au collectif des Anonymous, expliquent avoir diffusé les données les plus anodines en leur possession, pour ne pas mettre en danger les citoyens français, « car ce n'est pas notre objectif », expliquent-t-ils.
Le ministère de l'Agriculture, de son côté, a fait part de son étonnement. Celui-ci nous indique qu'il n'y a aucune compromission du site agriculture.gouv.fr. Il ajoute n'avoir relevé « aucune trace d'intrusion ni de fuite de données ».
En outre, les équipes du ministère ajoutent que « le site institutionnel n'héberge pas de données sensibles ni même de mot de passe, puisque l'authentification pour les contributeurs en backoffice se fait via un serveur CAS ». Le protocole CAS est, pour tout savoir, un protocole d'authentification unique.
Le message des cybercriminels, publiés ce mercredi 23 avril © Clubic
Les informations sorties sont peu sensibles, mais ce n'est peut-être qu'un début
Les données captées par les pirates pourraient être publiques, donc d'une sensibilité moindre. « Il est important de noter que ce n'est que 5% des données qui ont été dévoilées jusqu'à présent, ce qui ne permet pas d'avoir une vision complète de la sensibilité de l'ensemble des données potentiellement compromises », explique à Clubic Jérôme Thémée, fondateur de l'ESD Cybersecurity Academy.
Les interrogations et la prudence de l'expert sont légitimes, car si les informations ne semblent pas être sensibles à ce stade, l'exploit technique serait apparemment là. « L’exploitation technique mise en œuvre pour extraire les données pourrait être le résultat d'une injection SQL (SQLi) », parie Jérôme Thémée, qui décrit ici « une méthode d’attaque où des commandes SQL malveillantes sont insérées dans les champs de saisie pour manipuler la base de données ». Une commande SQL a pour rôle d'ordonner à un système de gestion de base de données d'exécuter certaines tâches.
Pour notre expert, il est aussi possible que l'attaque ait démarré par la compromission d'un poste qui disposait des droits nécessaires pour accéder à la base de données, « ce qui aurait donné aux attaquants un accès direct et potentiellement non surveillé pour réaliser le dump (Ndlr : l'exfiltrage) de la base ». Il sera intéressant de voir si d'autres informations sur cette fuite sortent dans les prochains jours.
merci à CLUBIC