Comme dirait le fameux hacker anonyme : « J’ai essayé de voler des données, mais j’ai trouvé que le réseau n’était pas à mon goût. » Eh bien, il semble que les cybercriminels qui se sont infiltrés dans le réseau de l’État du Maine aient eu un goût différent! Ces virtuoses du clavier ont fait les choux gras des agences étatiques du Maine, exploitant une vulnérabilité dans l’outil de transfert de fichier MOVEit, et l’État s’est retrouvé dans le club peu enviable des victimes de piratage massif. Un avis gouvernemental de grande envergure révèle que l’incident a bouleversé la vie numérique d’environ 1,3 million d’individus, soit peu ou prou la population totale du Maine. Le mal a été repéré le 31 mai, mais les malfaiteurs, tels des renards dans le poulailler numérique, avaient déjà téléchargé leur butin les 28 et 29 mai.
La variété des données dérobées est aussi grande que l’arc-en-ciel après une tempête de pixels: noms, numéros de sécurité sociale, dates de naissance, numéros de permis de conduire, d’identifications d’État et numéros d’identification fiscale. Et pour certains, les méchants ont même extirpé des informations médicales et sur les assurances santé. Plus de la moitié des informations pillées provenait du Département de la Santé et des Services Sociaux du Maine, et le reste venait notamment de l’Éducation. En somme, une célébration de l’interconnexion des données gouvernementales… malheureusement sans invitation!
Pour parer à la brèche, l’État du Maine offre généreusement deux ans de surveillance de crédit et de protection contre le vol d’identité.
Dès que la sonnette d’alarme a retenti, le gouvernement a barricadé les accès Internet au serveur MOVEit – un peu trop tard la messe était dite. Malgré cette réaction tardive, l’État a dégainé le grand jeu en proposant deux ans de surveillance du crédit et de service de protection contre le vol d’identité aux personnes dont les numéros de sécurité sociale et d’identification fiscale ont été compromis.
La bande de ransomware Clop, ces fiers corsaires du cyberespace, s’est vantée d’avoir orchestré un piratage similaire de l’Éducation de la ville de New York, affectant environ 45,000 jeunes esprits. Ces pirates du numérique n’en sont pas à leur coup d’essai, car government, entreprises mondiales, pauvre Sony, et Maximus Health Services, Inc, un prestataire de service pour le gouvernement US, en ont tous fait les frais. Mais patience, le gang Clop n’a pas encore sorti le butin dérobé au Maine de son coffre-fort numérique.
D’autre part, la Securities and Exchange Commission, tel un chevalier en armure brillante, a déjà lancé une lance en direction de l’éditeur de MOVEit, Progress Software. L’enquête semble à peine échauffer ses méninges, mais l’intention est là : tracer au fin fond du code ce qui a pu se tramer.
Source : Engadget
