Si les petites et moyennes entreprises font la une de l’actualité concernant des cyberattaques toujours plus sophistiquée, une autre cible souvent sous-estimée et particulièrement vulnérable sont les villes. Souvent mal préparer sur les questions de sécurité informatique, que ce soit par manque de formation ou de ressource, de nombreuses villes se retrouve confronté aux cyberattaques des cybercriminels.
Quelles sont les ampleurs de ces attaques ? Quels sont les services les plus touchés ? Comment les villes réagissent en cas de compromission ? Pour mieux comprendre l’ampleur de cette menace qui touche les centres urbains, voici le top 10 des cyberattaques contre les villes dans le monde.
Des hôpitaux britanniques victimes d’une cyberattaque
Mai 2017 – Le 12 mai, des cyberattaquants ont ciblé les systèmes informatiques du National Health Service (NHS) britannique, utilisant le ransomware Wannacry pour verrouiller les ordinateurs du NHS, exigeant une rançon de 300 dollars en bitcoins pour restaurer l’accès. Ces cyberattaques ont entraîné l’indisponibilité des e-mails et perturbé les logiciels de gestion des patients dans plus de 45 antennes de santé en dans les villes d’Angleterre et d’Ecosse.
Toutefois les dégâts de cet incident ont pu être limités notamment grâce à l’intervention de Marcus Hutchins, chercheur en sécurité informatique. En enregistrant un nom de domaine spécifique, il a réussi à créer un interrupteur et stoppé la propagation du ransomware, car celui-ci n’encryptait les fichiers que s’il ne pouvait se connecter à ce domaine.
L’incident à aussi montrer de grave manquement en termes de sécurité informatique comme l’utilisation de système d’exploitation largement dépassé tel que Windows XP qui n’était plus pris en charge par Microsoft depuis 2014.
Un ransomware frappe la ville d’Atlanta
Mars 2018 – La ville a été la cible d’une attaque de ransomware SamSam, paralysant ses services municipaux et affectant l’accès aux services pour des millions de citoyens. Après cinq jours d’arrêt complet, les 8 000 employés municipaux ont reçu l’autorisation de rallumer leurs ordinateurs. Alors que les ordinateurs de bureau, disques durs, et imprimantes du gouvernement reprenaient du service, les résidents étaient toujours incapables de régler leurs amendes ou leurs factures d’eau en ligne, ni de signaler des problèmes urbains.
En réponse à l’attaque du ransomware SamSam en mars 2018, la ville d’Atlanta a investi plus de 2,6 millions de dollars pour la restauration d’urgence de ses systèmes et services informatiques. La ville a aussi collaboré avec la société Edelman pour la gestion de l’incident, et a fait appel à l’expertise d’Atlanta Information Management (AIM), Secureworks, ainsi qu’à Cisco et Microsoft Cloud pour la remise en état de ses systèmes.
Un vol de donnée massif touche Singapour
Juillet 2018 – Singapour a subi une importante violation de données affectant 1,5 million de personnes, soit plus du quart de sa population. Les cyberattaquants ont délibérément ciblé les dossiers médicaux, y compris ceux du Premier ministre Lee Hsien Loong. Cette attaque bien planifiée a eu lieu entre le 27 juin et le 4 juillet, exploitant un ordinateur infecté par un malware pour accéder à une base de données de l’État.
Les cyberattaquants ont commencé à infecter les postes de travail dès août 2017 et ont finalement réussi à pénétrer le système grâce à une vulnérabilité de codage, envoyant des requêtes SQL jusqu’au 4 juillet, date à laquelle l’attaque a été stoppée par un administrateur de l’IHIS (Integrated Health Information Systems). Après avoir détecté une activité inhabituelle le 4 juillet, les administrateurs ont directement déclenché des précautions contre de nouvelles intrusions et mis en place une surveillance du trafic réseau.
Suite à cela, les auditions de la commission ont révélé diverses lacunes et erreurs du personnel ayant contribué à la violation. Après l’attaque, IHIS a renforcé les systèmes de santé publics contre les violations de données, mettant en place 18 mesures, y compris l’authentification à deux facteurs pour tous les administrateurs et une nouvelle surveillance de l’activité des bases de données.
Une cyberattaque à Baltimore paralyse les services en ligne de la ville
Mai 2019 – La ville de Baltimore a été confrontée à une cyberattaque par ransomware, paralysant ses services en ligne et ses opérations informatiques. Cette attaque a eu un impact sur le marché immobilier, car les transferts de propriété ne pouvaient pas être effectués numériquement. De plus, le système de paiement par carte de la ville et l’application de vérification des dettes ont été rendus inaccessibles.
En réponse à l’indisponibilité de leur système de messagerie électronique, les employés de la ville ont créé des comptes Gmail en guise de solution provisoire, bien que Google ait initialement bloqué ces comptes en raison du grand nombre créé sur une courte période. L’entreprise a part la suite rétablie les comptes Gmail.
La récupération de la situation a été longue et difficile s’étalant jusqu’en septembre. En cause le directeur informatique de Baltimore à l’époque, Frank Johnson, a été largement critiqué pour ne pas avoir élaboré de plan de reprise après sinistre écrit et pour sa gestion de l’attaque de 2019, qui a coûté à la ville environ 18 millions de dollars. Il a été remplacé par Todd Carter, le directeur adjoint, qui est devenu par la suite le directeur informatique permanent en février 2020 après le départ de Johnson en octobre.
La ville de Florence, Etats-Unis, paye une rançon de 300 000$
Juin 2020 – Victime elle aussi d’un ransomware, la ville de Florence en Alabama, a payé une rançon de 300 000 dollars aux cyberattaquants. L’attaque a frappé de plein fouet, révélant que les cybercriminels avaient infiltré le système informatique municipal depuis début mai. En dépit des mises en garde préalables du blogueur en sécurité informatique Brian Krebs, le Conseil municipal de Florence n’a pas réussi à expulser les cybercriminels, qui ont activé leur ransomware DoppelPaymer sur les systèmes informatiques de la ville.
Face à cette situation critique, le maire Steve Holt a révélé que la ville avait décidé de payer la rançon demandée par les cybercriminels, en utilisant des fonds de l’assurance de la ville. Bien que cette décision ait été controversée, elle a été prise dans l’espoir que les cybercriminels supprimeraient les données volées et ne les divulgueraient pas publiquement.
La ville d’Angers paralysée par une cyberattaque
Janvier 2021 – Les services municipaux à Angers, tel que les bibliothèques et les sites web de la mairie, ont été ciblés par une cyberattaque. L’attaque, lancée durant la nuit de vendredi à samedi, a révélé que les cybercriminels avaient infiltré le réseau de la ville depuis plusieurs jours. Pour répondre à cette situation, la métropole a bénéficié d’une assistance technique de la part de spécialistes de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Une restauration des serveurs basée sur des sauvegardes préalablement nettoyées a été entreprise pour empêcher toute réinfection.
Cependant, ce processus de restauration a imposé l’arrêt temporaire de plusieurs services, nécessitant plusieurs heures de travail sans connexion ni logiciel informatique. La ville a averti que le processus de restauration serait long et aurait un impact sur les services nécessitant l’utilisation d’ordinateurs, les laissant ainsi en mode dégradé pendant plusieurs jours.
En Italie, la plateforme de prise de rendez-vous pour la vaccination Covid compromis par des cybercriminels
Mai 2021 – La région du Latium en Italie a été la cible d’une cyberattaque par ransomware, qui a gravement perturbé les services informatiques, y compris la plateforme de prise de rendez-vous pour la vaccination COVID-19. Cette attaque a chiffré tous les fichiers dans le centre de données de la région, perturbant ainsi son réseau informatique.
Malgré cet incident, Nicola Zingaretti président de la région du Latium, a déclaré que la campagne de vaccination se poursuivrait normalement pour ceux qui avaient déjà pris rendez-vous, mais que la prise de nouveaux rendez-vous serait suspendue pendant les jours suivants. Le système a été fermé pour permettre une vérification interne et éviter la propagation du virus introduit lors de l’attaque.
La région a poursuivi les vaccinations, administrant 50 000 vaccins le jour suivant l’attaque, malgré la gravité de la situation. Les responsables ont également affirmé que les données n’avaient pas été volées. Les techniciens travaillant à la récupération des systèmes collaboraient étroitement avec la police postale et les services juridiques de Rome pour remédier à la situation.
Les sites internet d’aéroports allemands bloqués par DDoS
Février 2023 – Plusieurs aéroports de villes allemandes, notamment ceux de Düsseldorf, Hanovre et Dortmund ont subi des cyberattaques DDoS revendiqué par un groupe d’activiste russe, provoquant l’indisponibilité temporaire de leurs sites internet. Ralph Beisel, directeur général de l’association aéroportuaire ADV, a indiqué que ces attaques à grande échelle avaient rendu les sites web des aéroports temporairement indisponibles.
La durée de ces interruptions n’a été que d’environ une heure. En effet, les attaques DDoS, bien qu’elles puissent causer des interruptions temporaires, ne résultent généralement pas en une perte de données et sont souvent traitées par des mesures de mitigation de réseau et de renforcement de la sécurité informatique.
Cyberattaques par déni de service distribué (DDoS) dans des villes suisses
Juin 2023 – Plusieurs villes suisses ont connu une série de cyberattaques DDoS ciblant les sites web de l’administration fédérale du pays. Dans une attaque DDoS, le but est de submerger les sites web et les applications avec des requêtes ciblées pour les rendre inaccessibles, mais aucune donnée n’est perdue lors d’une telle attaque.
Le lundi 12 juin, ces attaques ont entraîné des perturbations dans divers sites et applications de l’administration fédérale et d’entreprises affiliées à la Confédération, comme les CFF. Le groupe de cybercriminel NoName a revendiqué la responsabilité de ces incidents, y compris une attaque précédente sur parlament.ch.
Les spécialistes de l’Administration fédérale ont rapidement détecté l’attaque et ont pris des mesures pour restaurer l’accessibilité des sites web aussi rapidement que possible. Le Centre national de la cybersécurité suisse (NCSC) a analysé l’attaque en collaboration avec les unités administratives concernées.
Un vol de données affecte 4 000 utilisateurs d’Ile-de-France Mobilités
Octobre 2023 – La région Île-de-France a été confrontée à un grave incident de cybersécurité affectant les utilisateurs de l’application Île-de-France Mobilités Connect. Cette attaque a entraîné le vol frauduleux d’environ 4 000 adresses e-mail et mots de passe d’utilisateurs actifs, mettant en péril la sécurité des données personnelles et l’accès aux comptes des utilisateurs. En réponse à cette violation de données, Île-de-France Mobilités a immédiatement déposé une plainte et alerté la Commission Nationale de l’Informatique et des Libertés (CNIL).
Pour limiter les dommages, l’organisation a demandé à Worldline, une entreprise de services de paiement et transactionnels, de mettre en œuvre des mesures techniques pour mettre fin à l’attaque. Afin de prévenir une utilisation abusive des informations personnelles, les utilisateurs ont été informés de la brèche et conseillés de changer immédiatement leurs mots de passe.
En conclusion
Les cyberattaques contre les villes soulignent une vulnérabilité croissante dans les infrastructures urbaines essentielles. De la paralysie des systèmes de santé à l’interruption des services municipaux, ces incidents révèlent l’urgence pour les villes d’améliorer leur cybersécurité. La diversité et la complexité des attaques nécessitent des réponses adaptées, impliquant à la fois l’adoption de technologies de sécurité avancées et la formation des employés municipaux aux bonnes pratiques de cybersécurité.
