Attacco al Ministero dell’interno francese: Credenziali condivise via email e dati sottratti

Nel corso di un’audizione al Senato francese, il ministro dell’Interno Laurent Nuñez ha illustrato in modo dettagliato le modalità del cyberattacco che ha colpito il suo dicastero, precisando fin da subito che parte delle informazioni resta coperta dal segreto informatico e da un’indagine giudiziaria ancora in corso.

Il ministro ha ricostruito la sequenza degli eventi: l’allerta è scattata il 25 novembre, quando la Direzione generale della Polizia nazionale ha rilevato la modifica delle password di diversi account di posta elettronica. Le verifiche successive hanno permesso di stabilire che l’intrusione ha riguardato esclusivamente caselle email della Polizia nazionale.

Una carenza di igiene digitale

Secondo quanto spiegato da Nuñez, l’attaccante ha preso il controllo degli account compromessi e li ha utilizzati per effettuare ricerche mirate, digitando parole chiave legate a segreti, nomi di applicazioni e password. L’operazione è stata resa possibile da una grave mancanza di igiene digitale: alcuni dipendenti si scambiavano le credenziali di accesso direttamente via email.

Grazie a queste informazioni, l’hacker è riuscito ad accedere a un portale che raccoglie circa 150 applicazioni della polizia. Sette di queste sono state effettivamente consultate, tra cui il TAJ (sistema di gestione dei precedenti giudiziari), l’FPR (archivio delle persone ricercate) e i database di Interpol, tutti contenenti dati estremamente sensibili.

Dal TAJ, che comprende circa 19 milioni di schede, sono stati esfiltrati 72 record individuali. Inoltre, sono state sottratte “diverse decine di migliaia di righe” di dati riassuntivi, contenenti informazioni di base come nome e stato civile, ma prive della motivazione dell’iscrizione. Dal database FPR risultano sottratti 23 record completi e circa 3.000 voci sintetiche. Per quanto riguarda Interpol, sono stati consultati dieci record e uno solo è stato effettivamente esfiltrato.

Nessuna alterazione dei dati

Il ministro ha voluto chiarire un aspetto fondamentale: non si è verificata né la modifica né la distruzione dei dati. L’aggressore non ha alterato i file né compromesso procedure operative in corso. L’obiettivo dell’attacco era esclusivamente l’esfiltrazione di informazioni, presumibilmente a fini di rivendita.

Un uomo di 22 anni è stato arrestato nell’ambito dell’indagine. Era già noto alle forze dell’ordine per episodi di swatting – chiamate anonime false per provocare interventi delle forze di polizia – e per il dirottamento di linee telefoniche.

L’intrusione è stata inoltre rivendicata su un forum di compravendita di dati dal “Shiny Hunters”, probabilmente come ritorsione per una precedente operazione di polizia. Dalla metà di dicembre non sono più stati rilevati “segnali attivi di attacco”. L’ultimo indizio di intrusione risale al 16 dicembre, mentre l’arresto è avvenuto il giorno successivo.

Autenticazione a due fattori per tutti

Nuñez ha infine illustrato le misure correttive adottate con urgenza. Tutte le password degli account di posta elettronica sono state reimpostate e circa mille account obsoleti sono stati disattivati. I team tecnici hanno condotto un’approfondita analisi forense per ricostruire ogni movimento dell’aggressore all’interno dei sistemi, individuando con precisione le sette applicazioni compromesse e l’accesso ad altri due portali, senza che su questi ultimi siano state rilevate azioni concrete.

Parallelamente, l’autenticazione a due fattori è stata immediatamente introdotta per tutte le applicazioni del portale colpito e verrà estesa progressivamente all’intero sistema informatico del Ministero.

Il ministro ha riconosciuto che si tratta di un cambiamento impegnativo per un’amministrazione che conta circa 300.000 utenti e centinaia, se non migliaia, di sistemi informatici. Tuttavia, ha ammesso che la transizione è inevitabile: “Non si può passare da una semplice password a un’autenticazione forte dall’oggi al domani senza incidere profondamente sull’organizzazione”.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.