Lundi 22 février, le blog CyberGuerrilla lié à la mouvance Anonymous a annoncé que certains éléments du groupe auraient piraté un sous-domaine du Ministère de la Défense, le site du Centre d’Identification des Matériels de la Défense (cimd.interarmees.defense.gouv.fr).
Ces données ont ensuite été publiées sur un site de partage d’information, habituellement utilisé par les hacktivistes et certains acteurs jihadistes. Les pirates expliquent ainsi protester contre la prorogation de l’état d’urgence en France. Le Centre d’identification des matériels de la défense (CIMD) est un organisme est chargé de la nomenclature et de l’identification des matériels utilisés par l’armée, en relation avec l’OTAN, et est donc en contact avec de nombreux sous-traitants, prestataires et fournisseurs.
Le portail du Ministère en question a notamment pour but la classification de matériel militaire à des fins de standardisation. Ce sont de nombreux industriels du secteur de la Défense qui sont concernés : dans les 51 tables provenant de 6 bases de données différentes, les noms, adresses mails, numéros de téléphones et commentaires de fournisseurs sur l’utilisation des différentes applications mises à leur disposition ont été révélés par cette fuite de données. On y trouve aussi les coordonnées de plus de 300 employés de Thalès. Une partie des informations est ancienne, avec des données remontant à 2004, mais certaines sont très récentes – mi-février 2016 –, et l’authenticité des documents fait peu de doute. Un site lié à Anonymous a également publié des images présentées comme des captures d’écran de l’interface d’administration du site.
Les auteurs sembleraient avoir également publié l’identifiant et le mot de passe permettant d’accéder au serveur SQL qui hébergeait la base de données et qui leur auraient permis d’accéder à ces informations. Les motivations avancées du groupe sont : State of Emergency, Arm Trade, OpNATO, OpAfrica. En gros, Anonymous explique avoir piraté ce sous-site du ministère de la défense pour protester à la fois contre la prolongation de l’état d’urgence en France, les ventes d’armes dans le monde, notamment les ventes d’armes par la France à l’Arabie saoudite, ainsi que l’action de l’OTAN. Le site du CIMD est actuellement toujours hors service et affiche le message suivant (qui n’évoque pas de piratage) :
“Votre portail web est temporairement inaccessible en raison d’activités de maintenance. Le portail du CIMD est temporairement indisponible en raison d’activités de maintenance pour une durée d’au moins 24 heures […] Afin de répondre à vos questions concernant le Système OTAN de codification ou nos outils et services, la hotline du CIMD est ouverte du lundi au vendredi de 8h00 à 16h00.“
Trois bases de données ont été diffusées sur JustPast.it.
« Les fichiers publiés en ligne contiennent relativement peu de données, environ 10 000 lignes de texte, mais ces informations sont sensibles, notamment parce qu’elles peuvent servir pour mener des attaques ciblées », note Damien Damuseau, de l’entreprise de sécurité informatique Cybelangel, qui a repéré la diffusion des documents.
Le ministère de la défense n’a pas communiqué de détails sur l’attaque.