150 hackers mènent une attaque massive sur la Poste

Denise Birchler

30. juin 2022 10:00 Dernière modification: 30. juin 2022 6:36

Environ 150 hackers du monde entier avaient 24 heures pour pirater les 300 Webservices de la Poste et accéder aux systèmes de la Poste. Tel était le cadre de la conférence internationale sur le hacking qui s’est déroulée les 25 et 26 juin à Paris. La Poste, cible des hackers, était au cœur de l’action. Pour la première fois, la Poste a exposé tous ses services Internet à des cyberattaques. L’objectif de la Poste: décerner les failles de sécurité et y remédier. L’objectif des hackers: décerner les failles de sécurité et gagner de l’argent. Marcel Zumbühl, Chief Information Security Officer, nous révèle dans cette interview le nombre de failles découvertes par les hackers ainsi que le niveau de sécurité des Webservices de la Poste.

Commençons par la question que tout le monde se pose: les hackers ont-ils réussi à pénétrer les systèmes de la Poste et si oui, combien de failles ont-ils décelé?
Marcel Zumbühl: Les hackers ont décelé 22 failles en 24 heures. La plupart d’entre elles étaient d’envergure modeste ou moyenne, une seule était sérieuse et une dernière de niveau critique.

22 failles de sécurité à la Poste?! C’est quand même beaucoup…
J’en attendais bien davantage. Essayez d’imaginer: 150 des hackers les plus doués au monde attaquent 24 heures durant les 300 services Internet de la Poste. 22 failles, ce n’est pas tant que ça. D’ailleurs, les hackers ont dû admettre qu’ils se sont maintes fois cassé les dents sur la sécurité de la Poste. Ils ont même été un peu frustrés de ne pouvoir trouver davantage de failles.

Et pourtant, il y a même eu des failles de niveau critique. Quelles sont les deux failles sérieuses que vous avez mentionnées?
La première concerne le bureau interne des colis trouvés. Il s’agit d’un service en ligne utilisé par le personnel du service à la clientèle pour retrouver des colis déclarés perdus. Même s’il s’agit d’un service interne à la Poste, les hackers sont parvenus à y accéder de l’extérieur et à manipuler les données concernant les colis.
La deuxième faille concerne notre «WebTransfer», une plateforme visant à mettre à disposition pour une tierce personne de gros volumes de données à télécharger (des images, par exemple). Les hackers ont pu pirater le WebTransfer, de sorte qu’ils auraient pu bombarder les adresses électroniques de nos collaboratrices et de nos collaborateurs d’e-mails de phishing.

Cela veut dire que même des criminels peuvent s’introduire dans ces deux services de la Poste et y causer des dommages?
Comme pour toutes les failles, nous veillons soit à les supprimer immédiatement soit à empêcher, par le biais d’une surveillance ciblée, qu’elles soient exploitées jusqu’à ce que nous les ayons résolues. C’est un peu comme une brèche qu’on découvre dans une clôture. Soit on colmate tout de suite la brèche, soit quelqu’un se place devant, s’assurant que personne ne s’introduise jusqu’à ce qu’elle soit définitivement réparée.

Les systèmes de la Poste ont ainsi été piratés. Les données de nos clientes et de nos clients étaient-elles donc accessibles?
Tant que les failles ne sont pas décelées, on ne peut jamais exclure que les données de la clientèle soient en danger. C’est pourquoi la Poste met en place une myriade de tests de sécurité et de mécanismes de protection continus, qui décèlent les failles suffisamment tôt pour ne pas pouvoir être exploitées. Au cours de la conférence de Paris consacré au hacking, une équipe de la Sécurité de l’information de la Poste a fait en sorte sur place que les données client soient protégées.

Dès lors, les Webservices de la Poste sont-ils absolument sûrs?
Oui, les Webservices de la Poste sont sûrs. Nous le savons tous: quand il s’agit de sécurité, nous devons rester sur nos gardes, au risque de laisser des erreurs survenir. Il en va de même dans le monde numérique que dans le monde physique, un peu comme pour le trafic routier ou aérien. La sécurité est un processus – et nous investissons beaucoup en matière de sécurité des systèmes de la Poste. Voilà pourquoi nous n’avons de cesse de chercher des failles, et ce de manière ciblée. Nous voulons les trouver et les écarter. Dans cette quête, il faut donc se confronter aux meilleurs hackers. C’est la seule manière de gagner en sécurité et en qualité.

Qui sont les hackers qui agissent ainsi? Quelles sont leurs motivations?
Il s’agit de «hackers éthiques», c’est-à-dire dépourvus d’intention criminelle. Ce sont des expertes et experts en informatique qui, mandatés par un propriétaire, tentent de pirater ses produits et ses services dans le but de déceler les failles, et ce en accord avec le mandataire – comme la Poste dans le cas présent. Contrairement aux hackers criminels, ceux-ci sont tous enregistrés chez nous et nous les connaissons personnellement. De plus, nos développeuses et développeurs IT travaillent main dans la main avec les hackers éthiques.

150 hackers qui attaquent simultanément la Poste: y a-t-il eu des problèmes informatiques ou est-ce que certains services ont été paralysés pendant ce laps de temps?
Non. Nos services IT et nos réseaux ont résisté à cette attaque sans subir de dommages. À aucun moment au cours de ces 24 heures, un Webservice n’a connu de défaillance.

Un point qui attise bien évidemment notre curiosité: combien la Poste a-t-elle dû débourser pour ces hackers à Paris?
Nous les avons payés 8700 euros. Par exemple, pour la faille sérieuse et la faille critique identifiées par les hackers, nous avons respectivement payé 1500 euros et 3000 euros.

Pourquoi la Poste s’est-elle portée volontaire comme cible à cette conférence de hacking?
L’un des principaux objectifs de la Sécurité de l’information consiste à rechercher activement et en permanence des brèches dans la sécurité et à les réparer. C’est ce que nous faisons jour après jour. Depuis environ quatre ans, nous faisons intervenir des hackers professionnels sur certains services en ligne de la Poste dans le cadre du programme bug bounty (voir encadré). Au cours de ces quatre années, nous avons pu déceler et écarter 437 failles. Nous étions désormais prêts à faire analyser l’ensemble de nos services en ligne de la Poste en simultané et sous toutes les coutures. La conférence de hacking était pour cela l’occasion idéale, constituant un véritable test de résistance.

En toute franchise: vous deviez être un peu nerveux avant cette conférence de hacking, n’est-ce-pas?
Non, j’étais confiant. Je sais que mes collaborateurs font un excellent travail au quotidien. Et puis, après tout, nous cherchions justement à déceler les failles.
Il faut voir les choses ainsi: les cybercriminels passent à l’acte nuit et jour. Sans être sollicités et sans crier gare. Nous étions parés pour cette conférence: 10 spécialistes de la Poste étaient sur place, en échange constant avec les hackers éthiques. En Suisse également, des équipes étaient sur le pont 24 heures sur 24 pour garantir que l’événement n’ait aucune retombée sur les produits et les services de la Poste. Par ailleurs, chaque brèche identifiée au niveau de la sécurité au cours de la conférence est soit déjà réparée, soit sous surveillance jusqu’à sa complète réparation. Aucun cybercriminel ne pourra désormais mettre la main dessus. Les services numériques de la Poste en sont sortis encore plus sûrs.