Piratage: la liste des élus hackés s’allonge

  • Neuf communes du canton ont été touchées par des attaques de pirates informatiques. 
  • Cartigny, Cologny, Satigny, Versoix, Vandœuvres, Chêne-Bougeries et Bardonnex s’ajoutent désormais à la Ville de Genève et Onex. 
  • Plus inquiétant, certains élus ne sont même pas au courant d’avoir été piratés. Notre enquête.

  • Les communes ciblées par des hackers.

    Les communes ciblées par des hackers.

«Oui, nous savons que le mail principal de la commune a été piraté»

Olivier Saillet, secrétaire général adjoint à Satigny

Suite à nos révélations (lire GHI du 12 octobre 2017) sur le piratage informatique d’élus genevois, l’enquête progresse. Et la liste des victimes s’allonge. Genève et Onex ne sont plus les seules communes à avoir été la cible des hackers. Il faut y ajouter les adresses e-mails des mairies de Cartigny, Satigny et Cologny. Ainsi que des données numériques du secrétaire général de Bardonnex et de 12 conseillers communaux de Versoix, Vandœuvres et Chêne-Bougeries.

Une hécatombe qui démontre une vulnérabilité certaine de la classe politique face aux pirates. Ce que ne cache pas Marc Fassbind, conseiller municipal à Chêne-Bougeries et hôtelier: «La seule façon d’assurer la sécurité pour un sujet très sensible est de renoncer aux mails et de communiquer, comme il y a dix ans, uniquement par courrier. Cela m’est arrivé une fois professionnellement.» Anthony Bauduccio, également élu au conseil municipal de Chêne-Bougeries, avoue la même impuissance: «Il y a deux mois, j’ai remarqué que j’avais été piraté. Bien sûr, j’ai changé mes identifiants dans la foulée. Par mesure de sécurité, je ne laisse aucune donnée sensible sur Internet.»

Les mairies attaquées

A Satigny, un fonctionnaire confirme que l’adresse principale de la commune a été hackée: «Oui, nous le savons, déplore Olivier Saillet, secrétaire général adjoint et comptable. Le compte concerné relève d’une utilisation de Dropbox, utile lors d’échanges de données non sensibles.» Quant à Cologny et Cartigny, dont les messageries principales ont aussi été visées, nos questions sont restées sans réponse. A Vandœuvres, les quatre conseillers municipaux touchés ont également décidé de ne pas donner suite à notre demande d’interview. Le silence n’est pas le seul réflexe des victimes de ce piratage généralisé. Certaines refusent de voir la réalité en face: «Je n’ai pas été piraté, précise Pierre-Yves Favarger, conseiller municipal de Chêne-Bougeries. Je n’envoie en principe aucune info sensible par e-mail, mais évidemment j’en reçois quelques-unes de confidentielles, à commencer par les procès-verbaux des commissions.»

Business criminel

Donc, il n’y a pas, «en principe», de risque d’avoir perdu dans la nature des informations sensibles. Pour la sécurité informatique, on repassera. Alexis Roussel, ancien président du Parti pirate suisse et expert en la matière, n’est pas surpris: «Ces piratages n’ont rien d’étonnant. Comme n’importe quel citoyen, les élus utilisent des services qui peuvent potentiellement se faire compromettre et dont la liste des identifiants est vendue à d’autres criminels.»

Vulnérabilité

La réponse qui nous a souvent été donnée est qu’aucun dossier délicat ne transiterait par Internet. Il n’y aurait donc pas lieu de s’inquiéter. Un argument qui s’écroule au vu des propos de Cédric Miche, conseiller municipal à Versoix: «Rien de sensible n’a fuité, car entre nous, nous utilisons d’autres boîtes!» Et donc d’autres comptes de messagerie potentiellement aussi vulnérables…

Une sécurité enfin renforcée

Quand il s’agit de petites communes, les adresses e-mail utilisées par les élus sont souvent celles privées ou professionnelles. Dans les 12 comptes des conseillers municipaux piratés, on recense trois adresses Gmail, la messagerie de Google. Bonne nouvelle, le géant américain semble enfin avoir pris les devants et propose depuis peu l’Advanced Protection, un ensemble de fonctionnalités rendant le piratage plus compliqué. Le service nécessite, par exemple, l’utilisation de petits périphériques USB ou sans-fil pour se connecter à son compte. Ces clés de sécurité ont longtemps été considérées comme la version la plus sécurisée de la vérification en deux étapes. En outre, des examens supplémentaires ont été mis en place afin de complexifier le processus de récupération des identifiants du compte. Les pirates ont ainsi moins de facilité à usurper l’identité de l’utilisateur et à prétendre avoir perdu l’accès à la messagerie.