Tahiti, le 22 juillet 2024 – À l'approche de l'ouverture des Jeux olympiques dans l'Hexagone et alors que les épreuves de surf se dérouleront à Tahiti dès le 27 juillet, le territoire est sujet à des risques de cyberattaques. Si ce risque était déjà présent, il est renforcé à l'approche de cet événement et la prévention est de mise, tant pour les particuliers et les administrations que pour les grosses entreprises.
De son propre aveu, Damas Teuira, le maire de Mahina, a passé des “nuits blanches” depuis que les services de sa commune ont été victimes d'une cyberattaque. Le 9 juillet dernier au matin, le tāvana et ses agents ont en effet découvert que l'accès à de nombreuses données avait été paralysé par un hacker qui n'a pas tardé à demander une rançon de 10 000 dollars en bitcoin, ce sans quoi il publierait les données personnelles piratées. Un peu moins de deux semaines après cette attaque, les choses se sont “arrangées” mais les services communaux ont dû fonctionner en “mode dégradé”. À ce jour, quatre des six serveurs de la collectivité ont été restaurés, 67% des postes informatiques ont été remis en production mais les serveurs de stockage des données des services décentralisés – dont la police municipale et les pompiers – n'ont pas encore accès aux données. Toutes les connexions internet de la municipalité sont par ailleurs encore coupées.
À la tête de la commune depuis dix ans, Damas Teuira n'avait jamais connu une cyberattaque d'une “telle violence”. “Nous avions déjà eu des attaques mais c'est la première fois que nous avons affaire à une attaque de cette nature. Cela m'a beaucoup inquiété car nous avons des données portant sur des services de gestion de la commune – finances, police municipale, caserne des pompiers – qui ont aussi été attaquées. J'ai passé des nuits blanches en relations avec l'Agence nationale de la sécurité des systèmes d'information” (Anssi). Si le maire et son équipe ont “beaucoup échangé avec Paris”, ils sont également en lien constant avec la gendarmerie en Polynésie. Le travail porte désormais sur la violation des données compromises mais le maire se montre déjà rassuré de savoir que ses agents seront payés en “temps et en heure” alors que le service de la comptabilité de la commune est l'un de ceux qui ont été le plus fortement attaqués.
“Nuire à l'image du pays hôte”
Dès la découverte de cette attaque, la commune a rapidement décidé de communiquer en informant ses administrés via les réseaux sociaux. Une transparence notable alors qu'à l'approche de l'ouverture des Jeux olympiques, les messages de prévention se multiplient, tant de la part des forces de l'ordre que des banques ou autres organismes. En marge d'un point presse organisé le 12 juillet dernier, le haut-commissaire de la République avait d'ailleurs évoqué le sujet en expliquant qu'en Polynésie, “les risques ne sont pas faibles” puisqu'un “certain nombre d'entreprises liées de près ou de loin aux Jeux olympiques ont déjà fait l'objet de cyberattaques avec des demandes de rançon”. Il annonçait alors qu'il allait signer le “jour même” une “nouvelle circulaire pour que dès qu'il y a une attaque”, ses services soient prévenus sans attendre afin que l'on fasse “appel à l'Anssi sans perdre une minute”.
Tel que le rappelle le major Pascal Aznar, enquêteur en cybercriminalité au commandement de la gendarmerie en Polynésie française, “les Jeux olympiques sont un vecteur de cyberattaques” car “le but, pour des hackers ou des entités étatiques, est de fausser la représentation qui va être faite via l'événement”. Il s'agit, en quelque sorte, de “nuire à l'image de marque du pays hôte”. “Puisque les Jeux olympiques exposent mondialement, cela favorise les cyberattaques”. Toutes les villes qui ont accueilli les JO ces dernières années en ont d'ailleurs été victimes à l'image de la ville de Tokyo qui en avait subi pas moins de 450 millions en 2021.
Menaces les plus courantes
Trois types d'attaques sont particulièrement fréquentes sur le territoire tant dans les entreprises, les administrations que chez les particuliers au premier rang desquelles l'attaque de type “ransomware”, précise Pascal Aznar. “Dans ce premier cas, un fichier malveillant va chiffrer les données d'un répertoire et rendre complètement inopérant le serveur ou l'ordinateur qui a été compromis. Ensuite, il y a une demande de rançon qui est établie pour pouvoir payer un auteur présumé et déchiffrer les données qui ont toutes été chiffrées ou corrompues.”
Il y a également les attaques dites “DDoS”, soit une attaque de “déni de service”, que l'on peut “très bien rencontrer à l'approche des JO avec une grosse tendance”. Il s'agit là de “saturer un appareil numérique, un ordinateur ou un serveur informateur, en vue de le rendre inopérant par une saturation de requêtes”. Pascal Aznar explique ainsi que “l'internet se trouve alors vraiment mis à mal et devient inutilisable” même si cela est “moins grave pour un particulier que pour une entreprise ou une administration”. Les attaques dites de “phishing”, ou “hameçonnage”, sont quant à elles celles que l'on connaît le mieux et qui sont destinées à “collecter des données sur un utilisateur”. “Les personnes répondent à des fichiers envoyés soit par SMS soit par mail, elles donnent leurs identifiants et l'auteur usurpe leur identité en se faisant faussement passer pour des entités telles que des banques ou autres afin de commettre des méfaits à l'encontre des utilisateurs.”
Rapidité de la 5G et de la fibre
Selon le major Aznar, le phishing demeure l'une des “plus belles attaques dans le domaine de la cybercriminalité car c'est un élément préparatoire à d'autres attaques” qui est “assez facile à réaliser” : “On envoie un mail pour piéger l'utilisateur et à partir de là, peuvent se mettre en route d'autres attaques puisque l'on a déjà un login ou mot de passe. C'est pour cela que cette méthode se déploie facilement notamment avec l'utilisation des mails. À cela s'ajoute la rapidité de la 5G et de la fibre. Tout cela est propice aux attaques informatiques.”
Outre ces trois types d'attaque, il y a également les attaques dite de “défacement” de site où “l'auteur prend à distance le contrôle de la page d’accueil du site web en question et la remplace par une page de son choix qui tend à faire peur.” C'est alors “l'image de marque” qui en prend un coup puisque “l'on ne se retrouve plus sur la page d'accueil mais sur la page de l'auteur”. “On l'a vu par le passé lors d'attaques terroristes avec la diffusion d'images très violentes”, rappelle d'ailleurs le major Aznar.
Quelles solutions ?
En matière de prévention, c'est donc la “vigilance de l'utilisateur qui est de mise”. Pour le phishing, l'enquêteur en cybercriminalité de la gendarmerie conseille de “laisser la souris quelques secondes sur le lien vers lequel l'auteur veut nous diriger” car cela permet de “voir éventuellement si l'adresse est bien correcte”. “En cliquant trop rapidement, c'est là que l'utilisateur tombe dans le panneau.” En matière de randsomware, il n'y a “pas vraiment de solution car on peut très bien naviguer sur des sites légaux et en être victime”. Le ransomware peut aussi être “propagé par une compromission ou une vulnérabilité constatée par l'auteur qui travaille à distance. Il faut donc un antivirus et le pare-feu doit être fortement paramétré”. “Nous préconisons tant que faire se peut d'éteindre les ordinateurs le soir ou durant la pause déjeuner car quand l'attaque a lieu, elle se propage beaucoup plus rapidement s'il y a une inactivité de l'utilisateur dont l'auteur profite pour parcourir au maximum les contenus et se propager.”
Dans le domaine des administrations, le major Aznar relève par ailleurs qu'une attaque du CHPF serait “gravissime” car “dès lors que l'on touche à un service très sensible, voire dit ‘d'intérêt’, c'est très critique”. “Tout cela dépend de leur protection, de leur capacité à rebondir et du fait de savoir s'ils ont réalisé un plan de reprise d'activité. Ce serait fortement préjudiciable pour beaucoup de monde, surtout avec l'organisation des JO. Il faudrait alors reprendre une activité avec les données des patients collectées à la main et peut-être que l'activité des scanners ou des IRM serait mise à mal.”
Augmentation de la cybermenace
Si les messages appelant à la vigilance se multiplient au niveau des autorités, il en va de même chez les acteurs privés spécialisés dans ce domaine. Maxime Terrassin, gérant de la société FoxIT qui est spécialisée en sécurité des systèmes d'information (SSI) et dont “89%” de la clientèle sont composés de “grosses entreprises principalement locales qui souhaitent mettre en œuvre une vraie stratégie de sécurité sur le long terme”, précise ainsi que si les risques étaient déjà présents avant l'annonce des JO, il constate une réelle “augmentation de la menace” à l'approche de leur ouverture.
“Cela fait un moment que nous avons peur de ce qui est arrivé à la commune de Mahina et qui peut arriver à toutes les communes mais aussi aux entreprises privées”, explique Maxime Terrassin. “Nous avons eu deux nouveaux cas cette semaine. Il y a une vraie augmentation avant les JO et l'on sait malheureusement que cela ne va pas retomber après car c'est juste lié au simple fait que les acteurs criminels ont découvert qu'il y avait un potentiel d'attaques ici. Je suis sur le territoire depuis 2018 et l'on constate une augmentation chaque année mais là, il y a une accélération de la menace. Les acteurs étrangers se disent ‘c'est Tahiti, c'est la France donc ça peut être intéressant’ comme en Nouvelle-Calédonie, où des cyberattaques ont été constatées ces dernières semaines.”
À titre informatif, les entités ou particuliers victimes d'une cyberattaque doivent donc se signaler auprès de la Commission nationale de l'informatique et des libertés (Cnil) dans les 72 heures qui suivent l'intrusion mais aussi auprès des forces de l'ordre qui font la passerelle avec l'Anssi, l'autorité d'État en charge de la sécurité dans ce domaine pour les JO. Du côté de la gendarmerie, le colonel Grégoire Demézon précise par ailleurs que depuis l’été dernier, “pour faire face à la menace cyber”, une “stratégie en deux niveaux” a été mise en place. Ce sont d’abord 40 cyberpatrouilleurs, qui sont en fait des officiers de police judiciaire, qui ont suivi un module spécifique de sensibilisation cyber. Une antenne de l’unité nationale cyber comprenant deux cyberenquêteurs spécialisés a également été créée à l’état-major de la gendarmerie de Papeete pour traiter ce “contentieux particulier”.
De son propre aveu, Damas Teuira, le maire de Mahina, a passé des “nuits blanches” depuis que les services de sa commune ont été victimes d'une cyberattaque. Le 9 juillet dernier au matin, le tāvana et ses agents ont en effet découvert que l'accès à de nombreuses données avait été paralysé par un hacker qui n'a pas tardé à demander une rançon de 10 000 dollars en bitcoin, ce sans quoi il publierait les données personnelles piratées. Un peu moins de deux semaines après cette attaque, les choses se sont “arrangées” mais les services communaux ont dû fonctionner en “mode dégradé”. À ce jour, quatre des six serveurs de la collectivité ont été restaurés, 67% des postes informatiques ont été remis en production mais les serveurs de stockage des données des services décentralisés – dont la police municipale et les pompiers – n'ont pas encore accès aux données. Toutes les connexions internet de la municipalité sont par ailleurs encore coupées.
À la tête de la commune depuis dix ans, Damas Teuira n'avait jamais connu une cyberattaque d'une “telle violence”. “Nous avions déjà eu des attaques mais c'est la première fois que nous avons affaire à une attaque de cette nature. Cela m'a beaucoup inquiété car nous avons des données portant sur des services de gestion de la commune – finances, police municipale, caserne des pompiers – qui ont aussi été attaquées. J'ai passé des nuits blanches en relations avec l'Agence nationale de la sécurité des systèmes d'information” (Anssi). Si le maire et son équipe ont “beaucoup échangé avec Paris”, ils sont également en lien constant avec la gendarmerie en Polynésie. Le travail porte désormais sur la violation des données compromises mais le maire se montre déjà rassuré de savoir que ses agents seront payés en “temps et en heure” alors que le service de la comptabilité de la commune est l'un de ceux qui ont été le plus fortement attaqués.
“Nuire à l'image du pays hôte”
Dès la découverte de cette attaque, la commune a rapidement décidé de communiquer en informant ses administrés via les réseaux sociaux. Une transparence notable alors qu'à l'approche de l'ouverture des Jeux olympiques, les messages de prévention se multiplient, tant de la part des forces de l'ordre que des banques ou autres organismes. En marge d'un point presse organisé le 12 juillet dernier, le haut-commissaire de la République avait d'ailleurs évoqué le sujet en expliquant qu'en Polynésie, “les risques ne sont pas faibles” puisqu'un “certain nombre d'entreprises liées de près ou de loin aux Jeux olympiques ont déjà fait l'objet de cyberattaques avec des demandes de rançon”. Il annonçait alors qu'il allait signer le “jour même” une “nouvelle circulaire pour que dès qu'il y a une attaque”, ses services soient prévenus sans attendre afin que l'on fasse “appel à l'Anssi sans perdre une minute”.
Tel que le rappelle le major Pascal Aznar, enquêteur en cybercriminalité au commandement de la gendarmerie en Polynésie française, “les Jeux olympiques sont un vecteur de cyberattaques” car “le but, pour des hackers ou des entités étatiques, est de fausser la représentation qui va être faite via l'événement”. Il s'agit, en quelque sorte, de “nuire à l'image de marque du pays hôte”. “Puisque les Jeux olympiques exposent mondialement, cela favorise les cyberattaques”. Toutes les villes qui ont accueilli les JO ces dernières années en ont d'ailleurs été victimes à l'image de la ville de Tokyo qui en avait subi pas moins de 450 millions en 2021.
Menaces les plus courantes
Trois types d'attaques sont particulièrement fréquentes sur le territoire tant dans les entreprises, les administrations que chez les particuliers au premier rang desquelles l'attaque de type “ransomware”, précise Pascal Aznar. “Dans ce premier cas, un fichier malveillant va chiffrer les données d'un répertoire et rendre complètement inopérant le serveur ou l'ordinateur qui a été compromis. Ensuite, il y a une demande de rançon qui est établie pour pouvoir payer un auteur présumé et déchiffrer les données qui ont toutes été chiffrées ou corrompues.”
Il y a également les attaques dites “DDoS”, soit une attaque de “déni de service”, que l'on peut “très bien rencontrer à l'approche des JO avec une grosse tendance”. Il s'agit là de “saturer un appareil numérique, un ordinateur ou un serveur informateur, en vue de le rendre inopérant par une saturation de requêtes”. Pascal Aznar explique ainsi que “l'internet se trouve alors vraiment mis à mal et devient inutilisable” même si cela est “moins grave pour un particulier que pour une entreprise ou une administration”. Les attaques dites de “phishing”, ou “hameçonnage”, sont quant à elles celles que l'on connaît le mieux et qui sont destinées à “collecter des données sur un utilisateur”. “Les personnes répondent à des fichiers envoyés soit par SMS soit par mail, elles donnent leurs identifiants et l'auteur usurpe leur identité en se faisant faussement passer pour des entités telles que des banques ou autres afin de commettre des méfaits à l'encontre des utilisateurs.”
Rapidité de la 5G et de la fibre
Selon le major Aznar, le phishing demeure l'une des “plus belles attaques dans le domaine de la cybercriminalité car c'est un élément préparatoire à d'autres attaques” qui est “assez facile à réaliser” : “On envoie un mail pour piéger l'utilisateur et à partir de là, peuvent se mettre en route d'autres attaques puisque l'on a déjà un login ou mot de passe. C'est pour cela que cette méthode se déploie facilement notamment avec l'utilisation des mails. À cela s'ajoute la rapidité de la 5G et de la fibre. Tout cela est propice aux attaques informatiques.”
Outre ces trois types d'attaque, il y a également les attaques dite de “défacement” de site où “l'auteur prend à distance le contrôle de la page d’accueil du site web en question et la remplace par une page de son choix qui tend à faire peur.” C'est alors “l'image de marque” qui en prend un coup puisque “l'on ne se retrouve plus sur la page d'accueil mais sur la page de l'auteur”. “On l'a vu par le passé lors d'attaques terroristes avec la diffusion d'images très violentes”, rappelle d'ailleurs le major Aznar.
Quelles solutions ?
En matière de prévention, c'est donc la “vigilance de l'utilisateur qui est de mise”. Pour le phishing, l'enquêteur en cybercriminalité de la gendarmerie conseille de “laisser la souris quelques secondes sur le lien vers lequel l'auteur veut nous diriger” car cela permet de “voir éventuellement si l'adresse est bien correcte”. “En cliquant trop rapidement, c'est là que l'utilisateur tombe dans le panneau.” En matière de randsomware, il n'y a “pas vraiment de solution car on peut très bien naviguer sur des sites légaux et en être victime”. Le ransomware peut aussi être “propagé par une compromission ou une vulnérabilité constatée par l'auteur qui travaille à distance. Il faut donc un antivirus et le pare-feu doit être fortement paramétré”. “Nous préconisons tant que faire se peut d'éteindre les ordinateurs le soir ou durant la pause déjeuner car quand l'attaque a lieu, elle se propage beaucoup plus rapidement s'il y a une inactivité de l'utilisateur dont l'auteur profite pour parcourir au maximum les contenus et se propager.”
Dans le domaine des administrations, le major Aznar relève par ailleurs qu'une attaque du CHPF serait “gravissime” car “dès lors que l'on touche à un service très sensible, voire dit ‘d'intérêt’, c'est très critique”. “Tout cela dépend de leur protection, de leur capacité à rebondir et du fait de savoir s'ils ont réalisé un plan de reprise d'activité. Ce serait fortement préjudiciable pour beaucoup de monde, surtout avec l'organisation des JO. Il faudrait alors reprendre une activité avec les données des patients collectées à la main et peut-être que l'activité des scanners ou des IRM serait mise à mal.”
Augmentation de la cybermenace
Si les messages appelant à la vigilance se multiplient au niveau des autorités, il en va de même chez les acteurs privés spécialisés dans ce domaine. Maxime Terrassin, gérant de la société FoxIT qui est spécialisée en sécurité des systèmes d'information (SSI) et dont “89%” de la clientèle sont composés de “grosses entreprises principalement locales qui souhaitent mettre en œuvre une vraie stratégie de sécurité sur le long terme”, précise ainsi que si les risques étaient déjà présents avant l'annonce des JO, il constate une réelle “augmentation de la menace” à l'approche de leur ouverture.
“Cela fait un moment que nous avons peur de ce qui est arrivé à la commune de Mahina et qui peut arriver à toutes les communes mais aussi aux entreprises privées”, explique Maxime Terrassin. “Nous avons eu deux nouveaux cas cette semaine. Il y a une vraie augmentation avant les JO et l'on sait malheureusement que cela ne va pas retomber après car c'est juste lié au simple fait que les acteurs criminels ont découvert qu'il y avait un potentiel d'attaques ici. Je suis sur le territoire depuis 2018 et l'on constate une augmentation chaque année mais là, il y a une accélération de la menace. Les acteurs étrangers se disent ‘c'est Tahiti, c'est la France donc ça peut être intéressant’ comme en Nouvelle-Calédonie, où des cyberattaques ont été constatées ces dernières semaines.”
À titre informatif, les entités ou particuliers victimes d'une cyberattaque doivent donc se signaler auprès de la Commission nationale de l'informatique et des libertés (Cnil) dans les 72 heures qui suivent l'intrusion mais aussi auprès des forces de l'ordre qui font la passerelle avec l'Anssi, l'autorité d'État en charge de la sécurité dans ce domaine pour les JO. Du côté de la gendarmerie, le colonel Grégoire Demézon précise par ailleurs que depuis l’été dernier, “pour faire face à la menace cyber”, une “stratégie en deux niveaux” a été mise en place. Ce sont d’abord 40 cyberpatrouilleurs, qui sont en fait des officiers de police judiciaire, qui ont suivi un module spécifique de sensibilisation cyber. Une antenne de l’unité nationale cyber comprenant deux cyberenquêteurs spécialisés a également été créée à l’état-major de la gendarmerie de Papeete pour traiter ce “contentieux particulier”.