Au total, quelque cent cinquante mille courriels frauduleux ont été envoyés lors de l’incident au cours duquel la ville d’Anvers a envoyé des mails de phishing. Mais il n’est question ni d’infraction grave ni de vol de données.
La semaine dernière, l’adresse mail support@antwerpen.be a soudainement envoyé des courriels suspects. Tout laissait penser à un compte piraté à partir duquel étaient envoyés des mails de phishing, destinés à convaincre les destinataires que leur portefeuille MetaMask (un portefeuille crypto) était bloqué.
La ville d’Anvers a confirmé l’incident, tout en affirmant que l’adresse mail ne lui appartenait pas et que le problème se situait chez un partenaire externe. Les questions sur le nombre de courriels envoyés ou sur la sécurité des comptes sont restées sans réponse.
De plus amples explications ont cependant été fournies lundi soir lors de la réunion du conseil municipal d’Anvers. Une question du conseiller Niel Staes (Groen) à l’échevine en charge du marketing et de la numérisation Erica Caluwaerts (indépendante) a révélé que quelque 150.000 courriels avaient été envoyés en une heure.
Cela a été rendu possible suite au piratage du compte utilisateur d’un employé de la ville avec l’outil de messagerie Createsend de Campaign Monitor. Une toute nouvelle adresse (support@antwerpen.be) fut ensuite créée à partir de laquelle le hacker envoya les courriels.
‘Cet outil est utilisé pour mener les campagnes de mailing de la ville. Sur la base de ce piratage, une nouvelle adresse, support@antwerpen.be, a été générée à partir de laquelle quelque cent cinquante mille mails ont été envoyés à partir d’un fichier de l’agresseur et donc pas au départ de notre fichier de mailing’, a répondu l’échevine Caluwaerts.
Aucune perte de données
Un détail important est que l’infrastructure IT de la ville n’a pas été affectée. Le compte pris sous contrôle avec l’outil de mailing était distinct des systèmes internes et n’avait pas accès à l’outil de campagne complet. Le hacker n’a utilisé aucune liste de mailing ni aucune autre donnée de la ville. La plupart des courriels auraient été envoyés à des destinataires américains.
‘Le hacker n’a pas pu accéder à l’ensemble de l’environnement Campaign Monitor, mais uniquement au sous-compte spécifique d’un utilisateur’, explique Caluwaerts.
Puisqu’il n’est donc pas question de violation de données, le DPO de la ville d’Anvers n’en a pas informé l’Autorité de protection des données ou la Commission flamande de contrôle.
Pas d’authentification multi-facteur
Le compte piraté était distinct de l’infrastructure ICT de la ville, mais offrait néanmoins la possibilité de créer de nouvelles adresses e-mail au nom de la ville d’Anvers. L’authentification multi-facteur (MFA) n’était pas non plus activée sur les comptes de l’outil de mailing. Tel est à présent le cas pour tous les utilisateurs.
Pour Niel Staes, qui a posé ces questions à l’échevine Caluwaerts, la réponse de la ville est claire: ‘Mais il n’en demeure pas moins étonnant que deux ans après une grave cyberattaque, nous ayons encore et toujours des comptes sans authentification multi-facteur. Dès que quelqu’un parvient à deviner le mot de passe, il peut y accéder par intrusion.’
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici