Cybernetica

🔮 Les fuites de donnĂ©es sont enfin sur le radar du politique.

Mais le gouvernement offre-t-il la bonne réponse ? Notre analyse à chaud.

Tariq KRIM
🔮 Les fuites de donnĂ©es sont enfin sur le radar du politique.
Ritchie de la série Les Petits Génies (1983).

La scÚne ressemble à un scénario de la série des années 80 Les Petits Génies. Un adolescent de quinze ans, depuis sa chambre, en changeant des données dans une adresse web, accÚde aux données de douze millions de Français.
⠀
Sauf que nous ne sommes plus dans les années 80 et qu'il ne s'agit pas de n'importe quelles données.

C'est un des serveurs de l'ANTS (l'Agence nationale des titres sécurisés) qui regroupent noms, prénoms, dates de naissance, adresses email et identifiants de connexion de douze millions de Français inscrits pour leur passeport ou leur carte d'identité.

Les mĂȘmes qui donnent lieu Ă  un cĂ©rĂ©monial trĂšs particulier avec un parcours sĂ©curisĂ©, prise de rendez-vous en mairie, usage de technologie biomĂ©trique pour gĂ©nĂ©rer votre passeport sĂ©curisĂ©.

Sauf que les donnĂ©es qui ont Ă©tĂ© piratĂ©es correspondent Ă  des donnĂ©es mises en ligne avant mĂȘme d'aller Ă  la mairie.

💡
Ce que ce hack fait de plus que les autres, c'est qu'il entache l'idĂ©e mĂȘme d'un parcours sĂ©curisĂ© de l'identitĂ© en France et son cĂ©rĂ©monial. Quid de Parafe dans les aĂ©roports ?

⠀
En 2015 aux Etats-Unis, l'OPM (Office of Personnel Management) aux US avait été piraté et 5,6 millions d'empreintes digitales d'employés et candidats fédéraux américains volées dont beaucoup de personnels ayant des habilitations de sécurité. Cette attaque avait été attribuée à la Chine.
⠀
Mais on n'est pas dans ce cas ici, c'est un gamin de 15 ans dans sa chambre avec deux éléments accablants :

  • La faille avait Ă©tĂ© signalĂ©e publiquement sept mois plus tĂŽt.
  • L'État dĂ©pense entre 700 millions et 1 milliard d'euros par an pour empĂȘcher ce genre d'incident.

La rĂ©ponse politique, deux semaines aprĂšs les faits, n'a pas Ă©tĂ© de corriger la chaĂźne de responsabilitĂ© qui a permis la fuite, mais d'annoncer une rĂ©organisation administrative et un fonds budgĂ©taire. AprĂšs plusieurs annĂ©es de piratage non-stop de toutes les donnĂ©es des Français, l'État essaye de reprendre la main en faisant des annonces.

La seule bonne nouvelle c'est que c'est le Premier ministre qui a repris la main sur le sujet.

Introduction

⠀
Tout cela est loin d'ĂȘtre anecdotique, des changements importants ont Ă©tĂ© annoncĂ©s dans l'organisation du numĂ©rique de l'État. Cette rĂ©organisation pose aux experts de nombreuses questions.
⠀
J'Ă©tais rĂ©cemment Ă  un dĂźner des responsables informatiques et de sĂ©curitĂ© de grands groupes. L'une des choses qui m'a frappĂ©e c'est que beaucoup d'entre eux considĂšrent que dans la chaĂźne des prestataires, l'État est devenu dĂ©sormais un maillon faible, un risque sĂ©curitaire.
⠀
Cela veut donc dire que les donnĂ©es que les entreprises ou les citoyens confient Ă  l'État ne sont pas considĂ©rĂ©es comme parfaitement sĂ©curisĂ©es.

Mais ce n'est pas nouveau : tous les Français l'ont réalisé, avec le piratage des données de santé (Viamedis et Almerys, 1er et 5 février 2024, 33 millions d'assurés), de France Travail (mars 2024, 43 millions de personnes), de Parcoursup, et évidemment de l'Agence nationale des titres sécurisés (ANTS) le 15 avril 2026, 12 millions de comptes.
⠀
La stratégie du gouvernement a d'abord été le silence, il suffit de voir la ministre du Numérique se soustraire aux questions qui lui étaient posées sur les fuites de données au Sénat, par la sénatrice Catherine Morin-Desailly, remplacée par le ministre de l'éducation nationale. C'était il y a un mois.

Et cela, c'était évidemment avant l'introduction de Mythos, le nouveau modÚle d'Anthropic, probablement déjà opérationnel à la NSA et certains services américains. Certaines voix de la cyber nous prédisent un nombre de failles encore plus importantes. (liens en fin de newsletter)

👉
Le cyber, ou pour ĂȘtre prĂ©cis la sĂ©curisation des donnĂ©es des Français et des entreprises devient un des sujets cƓur de la campagne de 2027. Tout candidat (rappelons que la ministre actuelle prĂ©pare la campagne d'Édouard Philippe) devra avoir un plan et une stratĂ©gie convaincante.

⠀
L'organisation qui a Ă©tĂ© annoncĂ©e ne peut ĂȘtre vue autrement que par ce qu'elle reprĂ©sente : une rustine en attendant que la personne et l'Ă©quipe qui seront Ă©lues en 2027 proposent une nouvelle organisation du numĂ©rique de l'État.

Sortirons-nous de l'État plateforme qui est un Ă©chec pour revenir Ă  une vision plus technique et plus inspirĂ©e ?
⠀
Car ce que démontent ces incidents c'est le mythe du non-tech qui voit le numérique comme un booster de carriÚre , mais qui n'y connait pas grand chose et qui est devenu un risque pour la sécurité des services.


En plus de repenser entiĂšrement la place du numĂ©rique dans l'État, il va falloir aussi casser ce mythe que la rĂ©glementation sur laquelle le numĂ©rique s'appuie comme une moule sur son rocher.
⠀
La rĂ©glementation (ou pour ĂȘtre prĂ©cis la sur-rĂ©glementation excessive) c'est le mythe du bon Ă©lĂšve qui a cochĂ© toutes les cases mais qui n'a jamais travaillĂ© sur la technique de ces systĂšmes.

Monteriez-vous dans un avion dont la checklist sécurité a été faite par des spécialistes de la conformité plutÎt que par des techniciens ?


Car il y a une chose que j'ai apprise en 40 ans de numérique, en ayant fréquenté les plus grands hackers (Mitnick, LOD, MOD, Neuralien pour rester français) et les meilleurs spécialistes de sécurité (comme Dan Farmer, le fondateur de SATAN) dans les années 90: au-delà de l'expertise technique, les meilleurs admin system ont des intuitions sur les choses à faire. cette intuition est essentielle à la sécurisation. Leur faire passer des journées à remplir des formulaires les déconnecte de cette intuition et donc d'une sécurité réelle.
⠀
Tous les gens brillants que je vois et qui ont ces compétences se retrouvent noyés dans les process administratifs qui, non seulement, ne leur donnent plus le temps de réfléchir aux prochaines vagues de risque.
⠀
Combien de CISO/RSSI ont le temps de réfléchir aux implications de l'IA agentique qui devient un attaquant redoutable ?

Le patron du GCHQ (la NSA britannique) expliquait récemment que désormais 100 pays dans le monde avaient les moyens d'attaquer en cyber la Grande-Bretagne. Je ne vois pas en quoi la France serait épargnée. (lien en fin d'article)
⠀
Avec mon think tank The Sovereign Way, nous avons publié une note pour nos clients sur les annonces du gouvernement Lecornu aprÚs la fuite de l'Agence nationale des titres sécurisés.

En la relisant, il m'a semblĂ© qu'elle disait quelque chose de plus large : l'État français ne souffre pas seulement d'un dĂ©ficit de cybersĂ©curitĂ©, mais d'un dĂ©ficit de commandement technique.

Pour les abonnĂ©s payants de Cybernetica, je l'ai traduite en français. 👇

Lire la suite

Super ! Vous vous ĂȘtes inscrit avec succĂšs.

Bienvenue de retour ! Vous vous ĂȘtes connectĂ© avec succĂšs.

Vous vous ĂȘtes abonnĂ© avec succĂšs Ă  Cybernetica.

Votre lien a expiré.

SuccĂšs ! Consultez votre email pour obtenir le lien magique de connexion.

SuccÚs ! Vos informations de facturation ont été mises à jour.

Vos informations de facturation n'ont pas été mises à jour.