L'Institut national de la statistique a confirmé avoir été piraté, une dizaine de jours après l'ANTS et la messagerie Tchap. Un cybercriminel a mis la main sur l'annuaire interne et publié les coordonnées de 12 800 agents sur un forum spécialisé. Pas de données bancaires dans le lot, mais largement de quoi alimenter de belles campagnes d'arnaque.
Un annuaire interne dans la nature
Repérée le 19 juin, l'intrusion n'a été rendue publique que le 26, le temps pour l'institut de mesurer les dégâts et de prévenir les bonnes autorités. Une semaine de silence. Le point d'entrée, c'est trombi.insee.fr, le trombinoscope maison qui recense les agents, et un pirate y a aspiré près de 13 000 enregistrements avant de les déposer sur un forum public. Au total, environ 12 800 personnes se retrouvent exposées, et pas seulement les agents en poste, puisqu'on parle aussi des anciens et de tous ceux issus des corps de l'INSEE. Autant dire un gros paquet.
Des données pro, pas de coordonnées bancaires
L'institut précise que seules l'identité des personnes et leurs coordonnées professionnelles ont filtré, en gros le nom, la fonction et l'adresse mail de boulot. Rien de plus. Aucun mot de passe, aucune coordonnée personnelle, aucune donnée bancaire, aucun numéro de Sécurité sociale ni la moindre information de santé n'a été touché, ce qui limite beaucoup la casse pour les agents eux-mêmes. Pour gérer la crise, l'INSEE s'est appuyé sur l'ANSSI et sur le service du haut fonctionnaire de défense du ministère des Finances, a notifié la CNIL et déposé plainte auprès du procureur de la République. La totale, donc.
Le vrai risque, c'est l'arnaque à l'enquêteur
Sauf que voilà, une fuite de données pro n'a rien d'anodin, même sans le moindre numéro de carte bleue. Avec un annuaire complet sous le coude, un escroc dispose de tout ce qu'il faut pour se faire passer pour un agent et arroser ses collègues de mails de phishing parfaitement crédibles. Le risque que pointe l'institut est même plus retors, puisqu'il s'agit d'usurper l'identité d'un enquêteur de l'INSEE pour soutirer de l'argent à des particuliers ou à des entreprises, en réclamant par exemple un versement bidon au nom d'une enquête officielle. Et là, c'est un peu chaud. Parce que l'INSEE frappe à la porte des ménages et des sociétés pour ses statistiques, si bien que le faux enquêteur a un boulevard devant lui.
On en dit quoi ?
Trois administrations tombées en deux mois. L'ANTS et ses 11,7 millions de comptes en avril, la messagerie Tchap et ses 643 000 messages début juin, et maintenant l'INSEE, ça commence sérieusement à faire beaucoup. La bonne nouvelle, c'est que l'institut a joué la transparence assez vite et que le périmètre reste cantonné aux données pro. La moins bonne, c'est que cette série dessine un secteur public encore bien trop fragile, où il suffit parfois d'un annuaire mal protégé pour balancer les coordonnées de milliers de personnes sur la place publique. On surveillera les prochaines semaines, parce que les faux enquêteurs, eux, n'attendront pas le prochain rapport de la CNIL.
