Cyberattaque: de Châteauroux à Lugo

Rien à voir entre les deux villes, l’une dans le centre de la France, l’autre dans la Galice en Espagne. Toutes deux ont au minimum un point en commun, avoir subi dernièrement une cyberattaque. La première abrite le siège social de l’office public d’habitat d’Indre (OPAC 36), et la mairie de Lugo capitale de la province du même nom. En France, l’organisme gère les données de 17 000 locataires et leurs familles, et la cité espagnole plus de 97 000 habitant.

Le conseil municipal de Lugo a été victime jeudi 5 mai 2022 d’une cyberattaque, relate La Voz de Galicia. Une enquête de la police nationale est en cours, un signalement a été effectué au Centre national de cryptologie. La commune souhaite aborder la question avec la plus grande prudence, néanmoins des sources proches des forces de l’ordre ont confirmé qu’il s’agit d’une arnaque téléphonique. L’escroquerie dite du phishing touche généralement de nombreuses entreprises, mais plus rarement une administration locale, comme dans ce cas.

L’Unité de lutte contre la criminalité spécialisée et violente (UDEV), la section de la police chargée des investigations, s’est déjà mise au travail, et elle fait des demandes pour obtenir plus d’informations afin de faire la lumière sur l’incident. Il ne s’agirait donc pas d’une intervention visant à recueillir des informations. Sauf, que cette cyberattaque intervient alors que, sur le plan national ibérique, l’affaire Pegasus d’espionnage des dirigeants indépendantistes catalans et le vol d’informations sur leurs téléphones portables par le président du gouvernement, Pedro Sánchez, et la ministre de la défense, Margarita Robles, font l’objet de discussions.

À moins de 850 kilomètres à vol d’oiseau, la commune de Châteauroux. C’est par un message sur Facebook que l’OPAC36 informait, le vendredi 6 mai 2022 à 15 h 20, ses locataires que « le 4 mai 2022, nous avons été la cible d’une attaque informatique. Dès que nous en avons eu connaissance, nos équipes se sont immédiatement mobilisées pour gérer et répondre à cet incident. Nous avons par ailleurs engagé des experts en cybersécurité afin d’identifier et de sécuriser rapidement notre environnement de travail. » L’office indique la possibilité que certaines données personnelles aient été consultées. La politique de protection des données à caractère personnel donne un aperçu des informations que le bailleur social aurait potentiellement été amené à collecter :

• Données d’identification : prénom, nom, numéro de carte d’identité et/ou passeport, nationalité, titre de séjour, lieu et date de naissance, signature, numéro unique d’enregistrement, etc.
• Données de contact : adresse postale, adresse électronique, numéros de téléphone (domicile, portable, professionnel)
• Situation familiale : état civil, situation maritale, situation parentale, lien de parenté, etc.
• Données professionnelles : situation professionnelle, coordonnées de l’employeur, nature du contrat, etc.
• …

« À ce stade, rien ne nous indique que des informations personnelles, quelles qu’elles soient, aient été utilisées à mauvais escient. Restez tout de même vigilants, si vous recevez des communications non sollicitées […] Nous tenons à nous excuser pour la gêne occasionnée et nous vous tiendrons informés de l’évolution de la situation. Merci de votre compréhension », concluait le bailleur.