Les adresses e-mail et autres informations sensibles de 918 députés britanniques, membres du Parlement européen et députés et sénateurs français ont été divulguées sur les marketplaces du dark web où les données sont achetées et vendues illégalement. Dans le cadre de notre enquête avec Constella Intelligence(nouvelle fenêtre), nous avons recherché sur le dark web 2 280 adresses e-mail officielles du Parlement britannique, du Parlement européen et du Parlement français. Nous avons découvert qu’environ 40 % avaient été exposées, avec des mots de passe, des dates de naissance et plus encore.
Les députés britanniques étaient les plus touchés, avec plus des deux tiers (68 %) des adresses e-mail vérifiées apparaissant sur le dark web, suivis de près par près de la moitié (44 %) des députés européens. Les députés et sénateurs français avaient la meilleure sécurité, seuls 18% des e-mails recherchés apparaissant dans les échanges entre hackers.
Le fait que ces e-mails, disponibles publiquement sur les sites internet du gouvernement, se retrouvent sur le dark web n’est pas, en soi, une défaillance de sécurité. Ce n’est pas non plus une preuve d’un piratage des parlements britannique, européen ou français. Cela montre plutôt que les politiciens ont utilisé leurs adresses e-mail officielles pour créer des comptes sur des sites internet tiers (qui ont ensuite été piratés ou ont subi une violation), se mettant ainsi eux-mêmes et les informations qu’ils doivent garder en sécurité inutilement en danger.
Encore plus préoccupant : ces adresses e-mail ont été associées à 697 mots de passe en texte clair. (Proton a informé chaque politicien concerné qu’ils avaient des données sensibles exposées sur internet avant de publier cet article). Si un responsable politique réutilise l’un de ces mots de passe exposés pour protéger son compte e-mail officiel, celui-ci pourrait également être en danger.
Nous avons vu les ravages qu’un seul compte e-mail compromis peut causer. Lors des élections présidentielles américaines de 2016, le chef de cabinet de Hillary Clinton a été victime d’une attaque de phishing(nouvelle fenêtre) et ses e-mails ont été exposés, révélant des messages embarrassants(nouvelle fenêtre) et alimentant toutes sortes de spéculations(nouvelle fenêtre). Imaginez le chaos que les hackers pourraient créer s’ils réussissaient à accéder à une fraction des comptes e-mails officiels de ces politiciens.
Bon nombre de ces députés, députés européens, adjoints et sénateurs occupent des postes de haut niveau, notamment des chefs de comités, des ministres du gouvernement et des chefs de l’opposition, et ont accès à des informations hautement sensibles. Pire encore, plusieurs d’entre eux siègent actuellement ou ont déjà siégé dans des comités chargés de superviser et d’appliquer les stratégies numériques nationales (et internationales).
Bien que nous ne publiions aucune donnée identifiable pour éviter de mettre des individus en danger, nous pouvons révéler que notre enquête a montré que des politiciens élus utilisaient régulièrement leurs e-mails officiels pour s’inscrire à des services comme LinkedIn, Adobe, Dropbox, Dailymotion, des sites internet de pétitions, des services d’actualités, et même, dans un petit nombre de cas, des sites internet de rencontre.
Ci-dessous, nous partageons les résultats complets de notre enquête, les conséquences possibles de cette attitude laxiste envers la cybersécurité, et ce que les politiciens (et tout le monde) peuvent faire pour améliorer leur sécurité en ligne.
Données exposées des politiciens
Lors de notre enquête, nous avons malheureusement trouvé toutes sortes d’informations sensibles liées aux e-mails des politiciens, y compris leur date de naissance, l’adresse de leur domicile, et leurs comptes sur les réseaux sociaux. Ensemble, ces informations donnent aux attaquants de nombreux détails pour réaliser des attaques de phishing convaincantes.
Nombre d’adresses e-mail recherchées | Nombre d’adresses e-mail compromises | Nombre de mots de passe exposés | Nombre de mots de passe en clair | |
---|---|---|---|---|
Parlement européen | 705 | 309 | 161 | 27 |
Parlement britannique | 650 | 443 | 216 | 30 |
Parlement français | 925 | 166 | 320 | 137 |
Les politiciens français surpassent les autres élus
Comme mentionné précédemment, seulement 18 % des e-mails des politiciens français que nous avons recherchés apparaissent dans des échanges sur le dark web. Cependant, ces violations ne sont pas réparties uniformément. Au Sénat français, 115 des 348 (33 %) e-mails de sénateurs que nous avons recherchés ont été compromis, contre seulement 51 sur 577 (environ 9 %) pour les députés de l’Assemblée nationale.
Si un politicien français a été compromis, ses informations sont apparues dans une moyenne de 7,8 violations. Si ce nombre semble élevé, c’est sans aucun doute parce que la France est le pays qui compte le politicien ayant subi le plus grand nombre de violations de son adresse e-mail (137) et ayant le plus de mots de passe exposés en clair (133).
La France abrite également un exemple du pire scénario possible qui s’est réellement produit. En novembre 2023, des journalistes ont découvert qu’un hacker avait volé le nom d’utilisateur et le mot de passe de l’adresse e-mail d’un membre du Parlement et vendu l’accès à sa boite mail officielle sur le dark web(nouvelle fenêtre). Peut-être l’aspect le plus surprenant de cette histoire est que le prix demandé était seulement de 150 $ (138 €).
Un peu plus d’un mois avant le début des Jeux olympiques de Paris, ces résultats mettent en évidence les préoccupations concernant les pratiques de cybersécurité des politiciens, où une seule violation pourrait constituer une grave menace pour la sécurité nationale.
La plupart des politiciens britanniques ont été piratés
Selon nos conclusions, les députés britanniques ont la chance de ne pas avoir souffert d’un scandale majeur impliquant des piratages de compte, car 68 % des adresses e-mail recherchées ont été trouvées sur le dark web, y compris des personnalités haut placées dans le gouvernement et l’opposition. Les adresses e-mail des députés ont été exposées un total de 2 110 fois sur le dark web, le député le plus fréquemment ciblé ayant subi jusqu’à 30 violations. Elles sont également apparues à plusieurs reprises, avec un député piraté moyen ayant ses informations présentes en moyenne dans 4,7 violations.
Le Royaume-Uni a été à plusieurs reprises la cible de cyberattaques soutenues par des États, dont la Russie. En décembre 2023, le gouvernement britannique a accusé la Russie(nouvelle fenêtre) d’une « cyberattaque durant plusieurs années » contre des universitaires, des politiciens et des décideurs britanniques. Il a affirmé que le FSB russe tentait de phishing ces individus pour espionner leurs boites mails privées.
Avec les prochaines élections générales qui auront lieu au Royaume-Uni, il est vital que les nouveaux députés prennent au sérieux leur cybersécurité personnelle, ainsi que celle de la nation, et respectent des processus et protocoles de sécurité stricts pour les comptes officiels.
L’Union européenne est également une cible
Alors que les membres du Parlement européen ont subi moins de violations que leurs homologues britanniques, près de la moitié des e-mails que nous avons recherchés sont apparus sur le dark web. Sur les 309 députés européens exposés, 92 ont été impliqués dans 10 fuites ou plus. Les politiciens à Bruxelles ont eu leurs adresses e-mail exposées 2 311 fois, avec 161 mots de passe en clair. Ceci est une alerte rouge, car le Parlement européen est de plus en plus la cible d’attaques sophistiquées et a admis qu’il n’est pas préparé.
Lorsque Politico(nouvelle fenêtre) interrogé sur la sécurité du Parlement européen et les prochaines élections, un membre du personnel anonyme (qui a souhaité rester anonyme en raison de la sensibilité du problème) a déclaré : « Nous sommes exposés sans protection, et si quelqu’un veut nous pirater, qu’il s’agisse d’un acteur malveillant chinois ou de tout autre acteur étatique, il peut le faire. »
Les menaces sont réelles. En février, deux membres et un membre du personnel de la sous-commission de la sécurité et de la défense du Parlement européen ont trouvé des logiciels espions sur leurs smartphones(nouvelle fenêtre). Et en mars, il a été révélé que l’APT31 (également connu sous le nom de Judgment Panda), un groupe de pirates informatiques lié aux agences de renseignement chinoises, était le suspect probable derrière une tentative de piratage de tous les membres de l’Union européenne(nouvelle fenêtre) de l’Alliance interparlementaire sur la Chine, une coalition de législateurs critiques du gouvernement chinois.
La cybersécurité, c’est la sécurité nationale
Dans le cadre de notre enquête, les hommes politiques concernés ont généralement vu leurs informations divulguées par des prestataires de services, comme LinkedIn ou Adobe. Même si une prise de contrôle hostile de l’un de ces comptes ne donnerait pas accès à des secrets d’État à un hacker (ou à un gouvernement étranger), elle pourrait révéler les communications privées de cet homme politique ou d’autres données sensibles. Les hackers pourraient alors utiliser cette information pour hameçonner ou faire du chantage aux hommes politiques.
Et c’est le meilleur scénario possible. Si un homme politique compromis réutilisait un mot de passe exposé sur le dark web pour l’un de ses comptes officiels (et omettait d’utiliser l’authentification à deux facteurs), cela pourrait permettre aux hackers d’accéder aux systèmes gouvernementaux.
Malheureusement, il suffit d’une erreur pour mettre vos informations en ligne en danger. Et pour un gouvernement, il suffit d’un ensemble d’identifiants de connexion piratés ou divulgués pour exposer des secrets classifiés.
Des mesures simples peuvent nous mettre à l’abris
Internet crée un dilemme presque insoluble : il est presque impossible de passer votre vie quotidienne sans être en ligne, mais garantir votre sécurité en ligne est tout aussi difficile. Et les politiciens sont simplement des êtres humains comme nous tous. Ils font aussi des erreurs. Et parfois, même si vous faites tout correctement, vos informations peuvent tout de même se retrouver dans des bases de données de hackers.
Les grandes entreprises ont clairement une part de responsabilité considérable. Comme le flux(nouvelle fenêtre) incessant(nouvelle fenêtre) de violations(nouvelle fenêtre) de données(nouvelle fenêtre) le démontre(nouvelle fenêtre), ils doivent mieux protéger les informations des comptes qu’ils collectent. Cependant, les responsables gouvernementaux, en particulier les législateurs ayant accès à des informations gouvernementales sensibles, doivent avoir un modèle de menace plus robuste que la personne moyenne. Cela s’applique à toute personnalité publique, qu’il s’agisse d’un professeur d’université, d’un journaliste, d’un chef d’entreprise, etc.
Pour commencer, personne ne devrait utiliser son email professionnel pour créer des comptes en ligne, surtout les fonctionnaires qui ont accès à des informations secrètes. Votre adresse email est votre identité en ligne, ce qui permet aux grandes entreprises technologiques, aux annonceurs et parfois même aux attaquants malveillants de vous suivre sur internet. Utiliser votre adresse email officielle gouvernementale pour des comptes, c’est comme crier « Je suis une cible précieuse » chaque fois que vous entrez dans une pièce.
Voici quelques étapes simples que tout le monde, mais surtout les politiciens et toute personne sous surveillance publique, devrait adopter s’ils souhaitent vraiment améliorer la sécurité de leurs comptes :
- Utilisez des alias d’email : les alias d’e-mail masquent l’identité du propriétaire d’un compte (au moins si l’alias est exposé dans une violation). Vous pouvez également supprimer facilement un alias qui a clairement été divulgué ou qui est tombé entre de mauvaises mains sans affecter votre adresse email réelle ou d’autres alias.
- Utilisez un gestionnaire de mots de passe : un gestionnaire de mots de passe peut ne pas empêcher les services de divulguer des mots de passe en clair, mais il peut garantir que chacun de vos comptes soit protégé par un mot de passe fort, aléatoire et unique. Un bon gestionnaire de mots de passe doit également faciliter le partage et la gestion des mots de passe, réduisant ainsi les risques d’exposition en les écrivant.
- Utilisez des services de surveillance du dark web : vous pouvez tout faire correctement et voir tout de même vos informations exposées en ligne à la suite de la fuite des données d’une entreprise négligente. Mais si vous avez une surveillance du dark web, vous serez informé dès que vos informations seront détectées, vous permettant de changer votre adresse email (ou, idéalement, votre alias email) et votre mot de passe avant que les attaquants ne puissent les utiliser.
Proton Pass peut résoudre tous ces problèmes. Si vous choisissez notre plan Proton Pass Plus, vous bénéficiez des éléments suivants :
- Un nombre illimité d’alias « hide-my-email »
- Un générateur de mots de passe
- Une prise en charge de clé d’accès
- Un générateur de codes d’authentification à deux facteurs intégré
- Pass Monitor qui vous avertit si vos adresses email Proton Mail ou alias apparaissent sur le dark web
- Proton Sentinel qui défend votre compte Proton contre les attaques de détournement
Prenez le contrôle de la sécurité de votre compte (et, si vous êtes parlementaire, aidez à éviter un scandale national) en souscrivant dès aujourd’hui à un abonnement Proton Pass Plus.