Cyberattaque contre « ARIANE » : une expérience qui doit nous servir

LA COMMUNICATION SUR L'ATTAQUE ET SES CONSÉQUENCES

Compte tenu de cette demande de la CNIL, une réunion s'est tenue le 12 décembre sous la présidence du Secrétaire général du ministère de l'Europe et des affaires étrangères au cours de laquelle il a été décidé du contenu du message à adresser aux personnes concernées et des éléments devant figurer dans le communiqué de presse.

Cette réunion a déterminé les éléments à faire figurer dans le communiqué de presse qui a été diffusé le 13 décembre à l'issue de l'envoi des courriels. Les grandes lignes de la communication et le communiqué de presse ont été validés par le cabinet du Ministre.

1. L'information directe des personnes concernées

Le 13 décembre était adressé un courriel aux plus de 500 000 personnes concernées ^{22 ( * )} en différents envois.

Sur ce nombre important de courriels, 230 000 adresses étaient en réalité inactives ou erronées compte tenu de l'ancienneté de leur recueil.

L'ANSSI et la CNIL, dont le nom et l'adresse des sites Internet figuraient dans le courriel, ont reçu, dans la foulée, des dizaines de demandes d'information. Le ministère de l'Europe et des affaires étrangères lui-même a recueilli des réactions montrant que l'envoi massif de ce message a eu pour effet d'inquiéter nombre de destinataires qui, soit n'étaient pas informés de leur présence dans ce fichier, soit n'avaient aucune idée des données contenues dans celui-ci, et qui pensaient être victimes d'une opération d'hameçonnage sous couvert d'un message falsifié du ministère, soit qui craignaient que leurs données bancaires ou d'autres données personnelles aient été dérobées ^{23 ( * )} .

Ce courriel, qui ne présentait aucun logo, ni aucun autre avertissement, et contenait des liens à activer, a même pu paraître frauduleux à certains destinataires compte tenu des pratiques courantes d'hameçonnage. Le service de la communication et de la presse du ministère qui était confronté pour la première fois à ce cas de figure, a reconnu au cours du retour d'expérience organisé à notre demande qu'il avait une marge d'amélioration dans la formalisation des communications de cette nature.

Les personnes, qui ont pris contact, ont pu être rassurées mais personne dans les organisations concernées n'était véritablement préparé aux réactions des personnes concernées ^{24 ( * )} , l'ANSSI tout particulièrement qui a déclaré n'avoir été informée de la communication du MEAE qu'a posteriori lorsqu'elle a été confrontée à des appels du public à la suite du courriel.

2. La communication publique

Il a été décidé également de rendre publique cette attaque et ses conséquences. Un communiqué de presse a été préparé par la direction de la communication et de la presse à partir d'éléments techniques fournis la DSI.

Il avait pour but de dissiper les doutes qui auraient pu naître de l'envoi du courriel et de répondre aux questions des journalistes forcément alertés par la réception des courriels (certains journalistes donnant le nom de collègues ou de cadres de leurs rédactions comme personnes à prévenir en cas d'incident lors de leurs déplacements).

Ce communiqué de presse ^{25 ( * )} a été repris parfois de façon alarmiste par les médias voire déformée par certains médias, ce qui a pu ajouter à la confusion ^{26 ( * )} .

Une version du communiqué assortie d'« une foire aux questions » (FAQ) a été mise en ligne sur le site « France Diplomatie ».

On notera, en premier lieu, qu'il y a eu deux communiqués successifs, le premier impliquant, dans les réponses à la FAQ, l'ANSSI sans son consentement et sans qu'elle ait été associée ni à la mise en place des correctifs, ni à la préparation de cette communication, le second ayant retiré la mention la concernant.

Compte tenu de l'effet de cette communication, vos rapporteurs s'interrogent sur un élargissement du nombre de parties prenantes à la décision de communiquer et sur le contenu de la communication.

Enfin, sur le fond, vos rapporteurs, s'interrogent également sur l'opportunité d'indiquer que la cyberattaque n'a rien d'un évènement exceptionnel, que « le ministère fait l'objet d'attaques de toutes natures et de toutes origines et s'est organisé en conséquence avec l'aide de ses partenaires interministériels, notamment l'ANSSI », message peu crédible au moment où il révèle la vulnérabilité d'une de ses plateformes.

---

* ²² Texte en annexe

* ²³ « merci d'avoir prévenu, je vous redonne mes coordonnées », « est-ce que d'autres données ont été volées » ? (même si elles ne sont pas recueillies par Ariane), « qui a donné mon nom » ? « pourquoi suis-je dans cette base ? », « supprimer mes données !»....

* ²⁴ Le Ministère de l'Europe et des affaires étrangères avait toutefois fourni des éléments d'information aux opérateurs de son standard téléphonique en cas de demande des personnes ayant reçu le courriel.

* ²⁵ Textes joints en annexe

* ²⁶ Un média en ligne titrant : « Le ministère des affaires étrangères a été victime d'un piratage - certaines données personnelles de Français partant à l'étranger ont été exposées ». Et dans le texte, il est écrit « les noms prénoms, numéros de téléphone portable et adresse mail des voyageurs ont été exposés, mais pas leur destinations de voyage, ni le nom des personnes à prévenir en cas de besoin ». Alors que le communiqué indiquait bien que seules les données relatives aux personnes à prévenir en cas de besoin ont été exfiltrées.