Alerte au « leak » à l’Assemblée nationale : les dessous d’une mise en scène numérique

La France est-elle une passoire numérique ? Si les cyberattaques se multiplient, toutes les annonces de fuites de données ne se valent pas. Analyse d’un prétendu « leak » concernant 127 députés qui relève plus de la compilation publique que du piratage de haut vol.

Une culture numérique encore trop fragile

C’est une affaire entendue : la France est une passoire numérique. Il ne se passe pas une journée sans qu’un site, public ou privé, ne se fasse trouer.

La faute à des budgets qui ne sont pas mis sur la table pour sécuriser correctement les infrastructures, à une absence de formation sur le sujet et surtout, à une trop grande collecte d’informations de la part d’entités qui n’ont pas besoin d’en savoir autant sur leurs usagers ou leurs clients.

Comme il faut à tout prix préserver son « reach » et sa petite notoriété sur les réseaux sociaux, certains rigolos s’amusent comme ils peuvent, en faisant croire que les informations personnelles des députés sont dans la nature et compilent le tout sur la base d’une adresse email : celle de l’Assemblée nationale.

127 députés mentionnés : l’illusion d’un leak important

Le dernier « leak » en date — terme utilisé pour parler de fuites de données — concernerait 127 députés. « 127 membres de l’Assemblée nationale française, ainsi que leurs adresses e-mail, numéros de téléphone et autres coordonnées, obtenus à partir de diverses fuites ». Voilà de quoi mettre l’eau à la bouche.

Pourtant, l’examen rapide des faits douche rapidement l’enthousiasme des amateurs de scoops.

En premier lieu, l’échantillon présenté dans Breach Forum ne concerne pas que des députés : on y trouve du personnel administratif de l’Assemblée nationale. Dès lors, il ne s’agit pas de 127 députés.

Concernant les députés, les adresses email montrées sont parfaitement publiques. Elles sont disponibles dans la base de données d’Arcadie, sur le portail open-data de l’Assemblée nationale, sur le site de l’Assemblée nationale, dans des répertoires publics, etc.

Le « leakeur » se vante d’avoir obtenu des adresses postales personnelles. Une rapide recherche semble plutôt indiquer qu’il s’agit des adresses en circonscription, exception faite de Caroline Yadan, dont l’adresse est celle de l’Assemblée nationale. Ce sont donc des adresses parfaitement publiques, en ce qui concerne les députés.

Le mirage de l’OSINT et le recyclage de fuites passées

D’où sortent ces données ? Comme l’indique le « leakeur » se vantant d’avoir eu recours à l’OSINT — et on est prié de ne pas ricaner bêtement — il s’agit d’un croisement de précédentes fuites de données personnelles, notamment SFR, Boulanger ou encore Le Slip Français « provient de diverses bases de données présentes ici » [NDLR : ici étant le forum].

L’OSINT est l’acronyme d’Open Source INTelligence et se définit comme une méthode d’enquête en sources ouvertes. On ne va pas casser des bases de données ou des systèmes d’information, on va relier les informations, à partir de données disponibles. La matière se décline en plusieurs familles : la géographie, le spatial, l’aérien, l’analyse de photos, de vidéos.

La sécurité des bases de données reste un sujet tout comme l’absence de culture numérique des élus, qui n’hésitent pourtant pas à voter des textes sur ce sujet, sauf la transposition de NIS2 qui attend toujours d’être inscrite à l’ordre du jour.

Faut-il prendre au sérieux les « alertes » des comptes sur les réseaux sociaux, concernant les fuites de données ? Il faut toujours veiller à la source : beaucoup de comptes se sont bâtis une notoriété, simplement en consultant des forums, sans apporter de contextes, ni de précautions, ni de contextualisation.

Enfin, on rappelle qu’on évite d’utiliser son adresse email professionnelle pour faire des commandes sur des sites d’e-commerce.