Comment nous avons acheté les disques durs contenant les données confidentielles d’une mairie bretonne [Vidéo]

Pour pirater la mairie d’une petite ville, pas besoin d’être un hacker de génie. Il suffit d’acheter un vieux disque dur à 15 € dans un magasin d’occasion. L’affaire aurait pu très mal tourner pour Montreuil-le-Gast, une commune rurale au nord de Rennes. Le Mensuel de Rennes a voulu savoir ce qu’il advenait des données informatiques, contenues dans les appareils cédés à des enseignes revendeuses dédiées au grand public.

Publiée dans l’édition de décembre du magazine rennais du groupe Télégramme, cette enquête dresse un constat édifiant. Sur six disques durs rachetés à la boutique EuroCash de Saint-Jacques-de-la-Lande, une commune voisine de la capitale bretonne, trois se sont avérés contenir des sauvegardes d’ordinateurs municipaux provenant du prestataire informatique de Montreuil-le-Gast. L’enseigne ne les avait pas effacées avant de les remettre en vente, contrairement à ses engagements.

Résultat : une caverne d’Ali Baba pour cybercriminel. Des dizaines de milliers d’e-mails internes, les coordonnées personnelles d’élus et de responsables associatifs, des photos d’enfants d’employés… Soit près de 100 000 fichiers utilisateurs sur un seul disque. La fuite porte sur les dossiers de la comptabilité, ceux d’une agente administrative ou encore de l’ancienne et de l’actuel directeurs généraux des services, ainsi que la boîte mail générale de la mairie.

Jackpot pour cybercriminel

Parmi les données les plus sensibles : des copies de cartes d’identité, des identifiants bancaires d’habitants, des données médicales, un signalement d’agression sexuelle présumée sur mineur ou encore la liste des ménages qui ne payent pas leur facture d’électricité. Une simple recherche d’expressions comme « confidentiel » ou bien « ne pas diffuser » renvoie à des comptes rendus de réunions, des avis d’imposition de citoyens (pour les frais de cantine), des données de santé, les RIB des prestataires de la ville ainsi que les noms, adresses et lieux de naissance de plus de 1 000 électeurs. Il est aussi possible de retracer les dernières recherches des utilisateurs sur Internet, leurs sites favoris, leurs photos et vidéos téléchargées…

« Bombe à retardement »

Un jackpot potentiel pour des cybercriminels. Sur le darknet, une copie de passeport français vaut 143,99 €, selon une étude de la société Nord VPN parue en juin. Les lots d’adresses électroniques européennes se monnayent de 11,13 à 195,22 € en moyenne. Celles-ci servent ensuite à des campagnes d’hameçonnage. Vous avez déjà reçu un e-mail d’un ami vous proposant une offre alléchante ou vous réclamant un virement en urgence ? Il a sans doute été victime d’un vol de données. Les identifiants bancaires alimentent quant à eux des fraudes au faux conseiller financier.

Tout aussi problématique : la présence parmi les fichiers de nombreux mots de passe de la mairie. De quoi ravir les utilisateurs de rançongiciels, ces pirates qui prennent en otage les ordinateurs des institutions ou des entreprises. En 2020, 30 % des collectivités territoriales en avaient déjà été victimes, selon une étude de l’association Clusif. « On serait en mesure de monter un scénario d’intrusion dans cette municipalité », confirme Acceis, une société rennaise de cybersécurité que nous avons contactée pour expertiser les données. « Une bombe à retardement », pour reprendre l’expression d’un cadre de la mairie.

« Je n’en ai pas dormi de la nuit »

Face à l’écran, on a l’impression d’être dans le film Le Corbeau, où des lettres anonymes révèlent les secrets intimes d’une petite ville. Sauf que, dans cette version 2.0, l’indiscret n’est autre que l’ordinateur qui enregistre la vie quotidienne du bourg au fil des ans. Depuis le citoyen qui écrit pour se plaindre de l’éclairage public jusqu’aux suivis des affaires de harcèlement scolaire en passant par d’innocentes vidéos de blagues entre fonctionnaires.

Comment ces éléments se sont-ils retrouvés dans la nature ? Selon nos informations, les trois disques durs achetés par nos soins faisaient partie, depuis plusieurs semaines, du stock d’EuroCash. Ils proviennent d’un lot vendu par un client régulier. En l’occurrence, le dirigeant d’Ethys, la société prestataire informatique de Montreuil-le-Gast. Cette petite entreprise rennaise, créée en 2007, est chargée d’une partie de la sécurité des ordinateurs de la commune. Elle réalise aussi différentes opérations de maintenance.

Son directeur reconnaît une erreur humaine. « Je n’en ai pas dormi de la nuit. C’est entièrement de ma faute. Il y a environ un an, j’ai voulu mettre à jour le système d’exploitation de certains ordinateurs. J’ai sauvegardé le contenu sur des disques durs m’appartenant. Plus tard, je les ai revendus en pensant à tort que je les avais formatés », c’est-à-dire vidés. Selon Ethys, seuls ces trois disques durs contenaient des données de Montreuil-le-Gast. Ce qui écarterait le risque que d’autres tombent entre de mauvaises mains. Néanmoins, la mairie n’est pas la seule concernée. Sur l’ensemble des disques achetés chez EuroCash, au moins un autre renfermait les fichiers d’une société ex-cliente d’Ethys.

Responsabilités engagées

Informée par Le Mensuel, Montreuil-le-Gast indique qu’elle envisage de « porter plainte » contre son prestataire. Son ancienne Directrice générale des services compte également « effectuer un signalement à la gendarmerie ». Pour cette commune de 2 000 âmes, l’affaire est d’autant plus délicate que le Règlement général sur la protection des données (RGPD) l’oblige à garantir la sécurité des informations personnelles qu’elle doit gérer. Le sous-traitant informatique, lui, est garant de la bonne marche de ce dispositif. Le cas échéant, la Commission nationale de l‘ informatique et des libertés (Cnil) peut prononcer des sanctions. Le risque n’est pas à prendre à la légère, note la Commission sur son site : « Les collectivités sont les plus ciblées par les cyberattaques après les TPE et PME. En 2021, la Cnil a reçu plus de 5 000 notifications de violations de données. 12 % concernaient des administrations publiques et, plus globalement, les incidents de sécurité ne cessent d’augmenter ».

D’autres exemples bretons

Exemples bretons : en 2016, la mairie de Saint-Malo a été victime d’un piratage de son standard téléphonique, avec un préjudice de 80 000 €. En 2017, une intrusion informatique à la mairie de Lohéac a permis à des escrocs de se faire passer pour une employée municipale afin de soutirer de l’argent à ses contacts. En 2021, c’est la commune d’Elven qui subissait un hacking avec demande de rançon.

Cette affaire pose la question de la sécurité informatique des mairies, qui n’ont pas toujours les moyens de se prémunir contre les cybermenaces. Au sein de la Communauté de communes Val d‘ Ille-Aubigné, dont fait partie Montreuil-le-Gast, chaque collectivité gère seule le devenir de ses ordinateurs. Une légèreté qui s’explique aussi par un manque de sensibilisation. Selon une étude du GIP Cybermalveillance publiée en mai, 65 % des communes de moins de 3 500 habitants se croient à l’abri des cyberattaques.

*Retrouvez l’enquête complète dans Le Mensuel de Rennes de novembre