Édition du 16  janvier 2015


Imprimer Imprimer

Attaques de sites Internet : comment les mairies peuvent-elles réagir ?

Alors que, selon certains experts, au moins un millier de sites internet d’institutions ont été touchés par des attaques informatiques (lire Maire info de mardi), pour de nombreuses petites communes aux moyens modestes se pose la question de la vulnérabilité et des moyens de protection face à ce genre d’attaques. Maire info a exploré quelques-unes de ces mesures.
Rappelons que depuis une semaine, des sites de mairies, conseils généraux, universités, églises ou entreprises subissent des campagnes de « défacement », c’est-à-dire une infiltration dans le site par des pirates affichant sur la page d'accueil des messages à caractère idéologique. « Il n'y a de Dieu qu'Allah », « Death to France » (Mort à la France) ou encore « Death to Charlie » (Mort à Charlie) : ces actions ont été revendiquées par « une cinquantaine d’individus ou de groupes » n’ayant toutefois « pas une grande force de frappe technique, quand on voit le niveau et les cibles des attaques », qui ne bénéficient pas de la protection d’administrations plus importantes, explique à Maire info Olivier Laurelli, fondateur du site d’informations Reflets.info et expert en sécurité informatique.
Cependant, pour des institutions de taille modeste, n’ayant pas de services techniques ni même de spécialiste en informatique, il peut être très difficile de s’en protéger. Que faire alors face à une attaque ?
« La première chose est de contacter le prestataire informatique qui a réalisé le site web ou, s’il n’y en a pas, l’hébergeur du site », c’est-à-dire la société qui stocke sur ses serveurs (ordinateurs) le contenu du site, dont les services sont payants et avec lequel un contrat a été nécessairement souscrit, recommande Olivier Laurelli. Parfois, c’est le prestataire qui joue également le rôle de l’hébergeur. « Il faut lui demander si toutes les mises à jour ont été faites » sur les logiciels ayant servi à créer l’architecture du site, car « souvent, les pirates réussissent à effectuer un « défacement » grâce à une faille de sécurité provenant d’une mise à jour non effectuée », détaille l’expert.
En effet, selon Olivier Laurelli, la « grande majorité des sites "vitrines" de mairies sont réalisés avec des systèmes de gestion de contenu, des logiciels libres (comme Wordpress) dont les mises à jour – visant entre autres à améliorer la sécurité – sont très fréquentes, et il vaut mieux éviter d’en sauter une ».
En cas d’attaque, un prestataire est en mesure de mettre le site en panne dans l’urgence – pour éviter d’afficher le message des pirates – et rapidement remplacer la page d’accueil visée. Pour un site basique, élaboré avec Wordpress par exemple, les premiers prix pour une gérance informatique permettant d’assurer un suivi régulier des mises à jour et une assistance en cas de problème s’établissent dans une fourchette de 1 500 à 3000 euros par an. Les coûts peuvent s’envoler bien évidemment en fonction de la complexité du site, et notamment si celui-ci gère les données personnelles d’usagers (par exemple si les administrés peuvent y payer la cantine scolaire ou autre service municipal).
Deuxième chose à faire : « Il ne faut évidemment pas hésiter à porter plainte auprès de la police ou de la gendarmerie, insiste Olivier Laurelli, car il est possible que les pirates soient français, et cela permet aux autorités de faire des corrélations avec d’autres plaintes, d’analyser les traces laissées par les assaillants ».
Deux administrations sont principalement chargées de recueillir les plaintes : l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC), une structure interministérielle, et la Brigade d'enquêtes sur les fraudes aux technologies de l'information (BEFTI), qui dépend de la direction régionale de la police judiciaire de Paris, et se concentre plus sur la criminalité économique et financière.
Avant de porter plainte, il est essentiel, lorsqu’on remet le site Internet en route, de « ne pas effacer les traces laissées par les assaillants, notamment les fichiers corrompus » ou installés par les pirates, avertit Olivier Laurelli. Il est important d’en créer des copies de sauvegarde et de les remettre aux enquêteurs, qui pourront y trouver des indices permettant d’identifier les auteurs de l’attaque.
Autre partenaire important pour les maires : l’Agence nationale de la sécurité des systèmes d’information (Anssi), qui est l’autorité nationale en matière de sécurité informatique, et vient de demander à l'Association de maires de France (AMF) de diffuser aux maires et présidents d'intercommunalités des conseils pour parer aux éventuelles cyberattaques. L'Anssi surveille et protège en effet tous les sites publics, dont ceux des collectivités locales, et vient d’éditer deux fiches pratiques pour aider les collectivités à sécuriser leurs système, l’une à l’intention des usagers (agents, élus…), l’autre des responsables des services informatiques.
Le Club de la sécurité de l'information français (Clusif), association à but non lucratif d'entreprises et de collectivités, rassemble également des antennes régionales, les Clusir. Le Clusif organise notamment des formations en sécurité informatique.

E.G.E.


Consulter les fiches d’aide de l’Anssi pour la protection contre les cyberattaques.
Consulter le vade-mecum du Clusif à l’usage des victimes de cyberattaques, comprenant les coordonnées de l’OCLCTIC, de la BEFTI et autres organismes-ressources.


Les conseils des experts informatiques de l’AMF
 
Les attaques visant actuellement les sites institutionnels sont, dans la très grande majorité des cas, des attaques simples à éviter :
-  en premier lieu, il convient de mettre à jour dans la dernière version l’éditeur en ligne du site. Les plus attaqués cette semaine sont FCKeditor, CKeditor et tinyMCE,
-  dans le cas de l’utilisation d’un CMS, s’assurer de la mise à jour régulière de la version ainsi que des plugins additionnels,
- ne jamais utiliser un dossier d’administration classique comme : http://ndd/admin/ http://ndd/administration/ , http://ndd/gestion/ , http://ndd/manage/ , http://ndd/manager/
-  sécuriser les accès : mots de passe complexes (lettres en minuscules/majuscules, chiffres et caractères spéciaux) ; ne pas utiliser d’identifiant standard comme admin / administrateur / webmaster / webmestre / user / utilisateur
-  isoler le dossier ou la page d’administration via un sous-domaine ou par filtrage d’IP »



Édition du 16  janvier 2015 image
Journal Officiel

Journal Officiel du 16  janvier 2015

  • Premier ministre

    Convention financière du 14 janvier 2015 entre l'Etat et l'ANRU relative au programme d'investissements d'avenir


    Lire le JO  

  • Ministère de l'éducation nationale

    Arrêté du 23 décembre 2014 portant déclaration d'inutilité, déclassement du domaine public de l'Etat et remise au service France Domaine d'un ensemble immobilier situé à Strasbourg (Bas-Rhin)


    Lire le JO  

  • Ministère de l'intérieur

    Arrêté du 8 décembre 2014 portant ouverture au titre de l'année 2015 par le centre de gestion du Pas-de-Calais du concours de rédacteur territorial


    Lire le JO  

  • Ministère de l'intérieur

    Arrêté du 8 décembre 2014 portant ouverture au titre de l'année 2015 par le centre de gestion du Pas-de-Calais du concours de rédacteur principal territorial de 2e classe


    Lire le JO  

  • Ministère de l'intérieur

    Arrêté du 10 décembre 2014 portant ouverture au titre de l'année 2015 d'un concours de recrutement externe et interne de rédacteur principal territorial de 2e classe par le centre de gestion de l'Aisne


    Lire le JO  

  • Arrêté du 11 décembre 2014 relatif à l'adaptation de certaines procédures du code du sport au principe « silence vaut acceptation » prévu à l'article 21 de la loi n° 2000-321 du 12 avril 2000 relative aux droits des citoyens dans leurs relations avec les administrations


    Lire le JO  

Abonnez-vous
à la newsletter

Quotidien   Hebdomadaire
Rechercher par dossiers
Retrouvez tous les articles depuis 2002 classés par rubriques

Organisation, Gestion Communale

Finances et fiscalités locales

Territoires

Environnement, développement durable

Urbanisme, Habitat, Logement

Action sociale, Emploi, Santé

Education jeunesse

Culture, Sports et loisirs

Europe International

Etat, Administration centrale, Elections

Juridique

Rechercher par calendrier
Retrouvez une édition par date :
Maires de France

Découvrez en exclusivité quelques articles du numéro de novembre :

Budget 2018 : de mauvaises surprises pour les élus
La baisse des dotations pèse toujours sur la gestion des ressources humaines
TERRITOIRES. Services au public : des schémas pour quoi faire ?
PRATIQUE. Sécuriser l'occupation temporaire du domaine public

 


Pour vous abonner www.amf.asso.fr