Le SPF Intérieur victime d’une cyberattaque de grande ampleur probablement coordonnée par un État étranger

Pour rappel, Microsoft a été mis au courant, en début d’année, d’une série de vulnérabilités dans ses serveurs Exchange, mondialement utilisés. L’entreprise a lancé le 2 mars des mises à jour pour protéger à nouveau ses systèmes. C’est à la suite de cela que le SPF, qui utilise ces serveurs, a demandé l’assistance du Centre pour la Cybersécurité Belgique (CCB).  

Celui-ci a décidé de mener un monitoring plus poussé et a trouvé des “pistes subtiles d’actes douteux” sur le réseau du SPF Intérieur en mars dernier. Les analyses ont démontré qu’un attaquant avait pu s’y introduire déjà deux ans auparavant, en avril 2019. 

La situation est prise très au sérieux. Le CCB et le SPF Intérieur ont immédiatement prévenu les instances officielles (le Centre de Crise National, l’Autorité de Protection des Données, la Police Fédérale, le Parquet Fédéral, la Sûreté de l’Etat, SGRS et le SPF Affaires étrangères) et mené des actions afin de supprimer les pistes de l’attaquant et de bloquer l’accès. 

 “La situation est sous contrôle : le réseau a été nettoyé et la sécurité a été rétablie”, selon le communiqué. Le SPF a en outre entamé une modernisation complète de son infrastructure informatique en vue d’optimiser au maximum la sécurité. La complexité de l’attaque indique un acteur qui dispose de cyber-capacités et de moyens étendus. Les auteurs ont agi de façon ciblée, ce qui fait penser à de l’espionnage.

Le dossier a été ouvert par le Parquet Fédéral et l’enquête est dirigée par un juge d’instruction bruxellois. En raison de l’ampleur de cette cyberattaque, cet incident a été élevé au rang de cybercrise nationale, comme le prévoit le Cyberplan d’urgence national, indique le cabinet de la ministre de l’Intérieur Annelies Verlinden. La ministre a également demandé à la ministre des Affaires étrangères, Sophie Wilmès, d’entamer la procédure relative à la recherche de la source. Cette procédure, approuvée la semaine dernière par le Conseil national de Sécurité, définit le processus permettant d’attribuer formellement une cyberactivité malveillante à un acteur spécifique.