Une alerte avant le piratage : les faits rapportés par Léo Gonzalez
Léo Gonzalez, co‑fondateur de Devensys Cybersecurity à Montpellier, affirme avoir signalé deux failles à l’ANTS avant le piratage survenu la semaine dernière, et que au moins l’une de ces failles n’a pas été corrigée. Exemple précis : selon son témoignage, le signalement antérieur aurait porté sur des vecteurs d’accès permettant l’extraction de données sensibles. Points clés :
- Nombre de failles signalées : deux.
- État rapporté : au moins une non corrigée avant l’attaque.
- Acteurs impliqués : chercheur externe (Devensys) et l’ANTS, gestionnaire des titres sécurisés).
Cette situation soulève immédiatement des questions sur la réactivité et la gestion des signalements de sécurité.
Pourquoi l’ANTS est une cible sensible
L’ANTS (Agence nationale des titres sécurisés) gère des services liés aux documents d’identité et aux titres sécurisés, ce qui en fait une cible critique pour les cybercriminels. Exemples concrets de risques : usurpation d’identité via des données de cartes nationales d’identité, et perturbation des démarches administratives. Points à retenir :
- Données exposées : informations personnelles (nom, date de naissance, numéros d’identifiant).
- Services à risque : demandes de titres, bases d’authentification, téléservices administratifs.
- Enjeu : confiance des citoyens et continuité des services publics).
La protection de ces systèmes est donc essentielle pour la sécurité nationale et la vie quotidienne des usagers.
Comment fonctionnent les signalements et où se situent les difficultés
La remise d’une faille suit généralement un processus de divulgation responsable impliquant le chercheur, l’entité concernée et parfois des autorités comme ANSSI ou CERT‑FR. Exemple pratique : un chercheur envoie un rapport technique, propose des correctifs et attend une réponse dans un délai convenu. Obstacles fréquemment rencontrés :
- Manque de réponse ou délai trop long.
- Absence de procédure claire publique pour le signalement.
- Ressources internes insuffisantes pour corriger rapidement.
Ces difficultés peuvent retarder la correction et accroître le risque d’exploitation par des tiers.
Risques concrets d’une vulnérabilité non corrigée
Une faille laissée ouverte peut générer des conséquences rapides et gravement tangibles : vol de données, fraude administrative ou attaques en chaîne contre d’autres services. Exemples internationaux : la vulnérabilité Log4Shell (2021) a permis des intrusions massives, et la chaîne SolarWinds (2020) a exposé des failles de confiance dans la supply chain. Impacts à considérer :
- Courte durée : exfiltration de données personnelles.
- Moyen terme : fraude à l’identité et usurpation de comptes.
- Long terme : perte de confiance publique et coût de remédiation élevé.
La présence d’une faille non corrigée avant une attaque est un facteur aggravant en matière de responsabilité.
Actions concrètes pour limiter les dégâts et réagir rapidement
Face à ce type d’alerte, plusieurs mesures immédiates et structurelles sont recommandées. Exemple d’intervention rapide : isolation du service affecté, audit de l’accès, et mise en place d’un patch temporaire. Mesures pratiques :
- Pour l’organisation : audits réguliers, bug bounty, renforcement des équipes de réponse (SOC), déploiement de correctifs urgents.
- Pour les utilisateurs : vigilance sur les communications officielles, vérification des comptes, activation de la double authentification.
- Coordination : alerter ANSSI/CERT et publier un rapport de transparence une fois les faits vérifiés.
Ces actions diminuent le risque immédiat et améliorent la résilience à long terme.
Vers plus de transparence et de responsabilité : pistes d’amélioration
Pour éviter que des signalements utiles restent sans effet, il est nécessaire de renforcer les processus et la culture de sécurité. Exemples d’initiatives efficaces : contrats de bug bounty publics, calendriers de correction et audits indépendants. Recommandations clés :
- Formaliser une procédure publique et rapide de traitement des signalements.
- Publier des rapports de transparence sur les vulnérabilités et leur correction.
- Investir dans la formation, les audits externes et la remontée d’incidents (coordination ANSSI/CERT‑FR).
Ces mesures contribuent à restaurer la confiance et à réduire les risques liés aux failles non corrigées.
Léo Gonzalez, co-fondateur de l’entreprise montpelliéraine Devensys Cybersecurity affirme qu’il a déjà fait remonter deux failles de sécurité à l’ANTS avant le piratage de la semaine dernière et qu’au moins l’une d’entre elles n’a toujours pas été corrigée.
