Comment une ville comme Columbus, Ohio, se retrouve-t-elle piégée dans l’engrenage d’une cyberattaque dévastatrice, exposant les données personnelles de 500 000 résidents ? Les événements de juillet dernier soulèvent de nombreuses questions sur la sécurité des infrastructures numériques des villes américaines.
Lorsqu’une ville dépose un rapport à l’attention du procureur général du Maine, admettant qu’un « acteur de menace cybernétique étranger » ait pu accéder à ses réseaux, c’est toute une communauté qui est en alerte. Quels sont les mécanismes en place pour protéger les informations sensibles telles que les noms, dates de naissance, adresses, documents d’identification, numéros de sécurité sociale, et détails bancaires des citoyens ? Les failles révélées à Columbus montrent-elles un problème plus vaste au niveau national ?
Aussi surprenant que cela puisse paraître, malgré la rapidité avec laquelle Columbus a prétendu avoir « déjoué » l’attaque en coupant son réseau Internet, le groupe de ransomware Rhysida a annoncé en août avoir exfiltré 6,5 téraoctets de données, y compris des bases de données complexes, les accès aux caméras de la ville, et les informations critiques des services d’urgence. Jusqu’où est allé le préjudice pour Columbus ? La réclamation de Rhysida pour 30 bitcoins, équivalant à environ 1,9 million de dollars, marque-t-elle un nouveau seuil dans le chantage numérique ?
Un doute plane sur les déclarations officielles concernant l’intégrité et l’état des données volées.
L’affirmation du maire de Columbus, Andrew Ginther, selon laquelle les données volées seraient « corrompues » et donc « inutilisables », a rapidement perdu de sa crédibilité. Comment expliquer que, presque simultanément, un chercheur en cybersécurité, David Leroy Ross, indique l’apparition de ces informations sur le dark web ? Ce décalage entre les annonces des autorités et la réalité inquiétante de la diffusion illégale soulève la question de la transparence et de l’efficacité des mesures de communication en cas de crise.
En septembre, la ville de Columbus interpelle Ross en justice, l’accusant de menacer de divulguer ces données à de tierces parties. Une telle stratégie judiciaire soulève des doutes sur la responsabilité et la préparation des autorités locales face à des enjeux de sécurité croissants. Jusqu’à quel point les pouvoirs publics sont-ils aptes à gérer et atténuer les conséquences de telles attaques ? Dans ce climat de défiance, Rhysida affirme avoir déjà mis en ligne 3,1 téraoctets de données « invendues », représentant plus de 250 000 fichiers. Une situation qui alarme non seulement les habitants de Columbus mais aussi toutes les collectivités qui craignent un scénario similaire.
La problématique est évidente : si une ville de l’envergure de Columbus est vulnérable à de telles intrusions, qu’en est-il des autres municipalités ? Devons-nous repenser les systèmes de protection des données urbaines de fond en comble ?
Source : Techcrunch