Personne n'est à l'abri d'une cyberattaque, pas même l'Organisation des Nations Unies. Mais contrairement aux entreprises, rien ne l'oblige légalement à alerter les personnes dont les données sont compromises. Problème : l'institution internationale manipule des données sensibles de haut niveau.

Même une des plus puissantes organisations mondiales peut se faire hacker. Le New Humanitarian a mis la main sur un rapport de cybersécurité émis après une attaque d’ampleur contre des serveurs de l’Organisation des Nations Unies (ONU). Daté du 20 septembre, il pointe les vulnérabilités exploitées, décrit les efforts pour mitiger l’attaque, et indique qu’il « évalue encore l’ampleur des dégâts ».

Cette cyberattaque complexe a touché les réseaux de trois bureaux de l’ONU, deux situés à Genève et un à Vienne. Elle a démarré en juillet 2019, mais n’a été repérée qu’un mois plus tard. Elle concerne au moins 40 serveurs, dont quatre appartiennent au haut-commissariat des Nations unies aux droits de l’homme (HCDH).

Les serveurs affectés contiennent une large variété de données, dont des informations personnelles sur les employés de l’institution. L’infrastructure touchée contient des informations sur les utilisateurs, les mots de passe, les commandes système et des pare-feux de sécurité.

En réaction, l’ONU a dû déployer des mesures de quarantaine, de mitigation et de récupération. Il a fallu reconstruire certains éléments de l’infrastructure et réinitialiser plusieurs accès. Le rapport n’a pas déterminé l’identité de l’assaillant, mais l’attaque s’avère plutôt sophistiquée, ce qui tourne les soupçons vers des acteurs d’ordre étatique.

Personne au courant en dehors des équipes techniques

L’équipe informatique des bureaux de l’ONU à Genève a envoyé une alerte à ses équipes techniques le 30 août 2019. « Nous travaillons en supposant que le domaine entier est compromis. Les assaillants ne montrent pas de signes d’activité pour l’instant, nous assumons qu’ils ont établi leur position et sont inactifs », prévient le message. « L’attaque a conduit à une compromission de composants au coeur de notre infrastructure », a concédé le porte-parole de l’ONU Stéphane Dujarric, interrogé par le New Humanitarian. « Puisque la nature et la portée exacte de l’incident n’ont pas pu être déterminées, nous avons décidé de ne pas publiquement parler de la faille  », a-t-il ajouté.

L’ONU a le droit de ne pas divulguer la faille

Les Nations Unies disposent d’un statut diplomatique particulier qui leur offre « l’immunité contre toute forme de procédure légale ». Ils ne sont donc pas obligés de divulguer leurs failles de sécurité ni d’informer les potentielles victimes. Ces obligations, légales pour la majorité des entreprises et des institutions depuis le RGPD, ne sont donc que des considérations éthiques pour l’ONU. Résultat, le porte-parole de l’ONU confirme que seules les équipes informatiques internes des deux bureaux concernés ont été informées de la faille.

D’après plusieurs spécialistes interrogés par le New Humanitarian, la non-divulgation de la faille menace d’endommager la confiance dans l’ONU comme institution. David Kaye, le rapporteur spécial sur la promotion et la protection du droit à la liberté d’opinion et d’expression, a quant à lui répété que l’ONU a la responsabilité de sécuriser ses données sensibles et d’informer les personnes affectées.

En avertissant les personnes et organisations concernées par la faille, l’ONU leur permettrait d’ajuster leurs mesures de sécurité. Dans son rapport Le droit à la vie privée à l’ère du numérique, l’ONU conseillait à d’autres de communiquer : « les entreprises devraient notifier leurs clients chaque fois qu’ils sont conscients d’une brèche de données personnelles qui pourraient affecter leurs droits. »

La portée des dégâts n’est pas précisément connue

Quelle donnée a été copiée et extraite des serveurs ? Le rapport n’aboutit pas à une conclusion précise. Le porte-parole de l’ONU a confirmé qu’il « était possible pour les assaillants de voir les données sur les serveurs compromis ». En revanche, il défend que les données visibles sur les serveurs du haut-commissariat des Nations unies aux droits de l’homme ne continssent que des informations non sensibles. Mais une des sources internes citées par le New Humanitarian estime à 400 gigaoctets l’extraction de données, et considère que la réponse de l’ONU sous-évalue le niveau de la faille. La faille aurait notamment donné accès à une liste d’utilisateurs qui disposent d’un accès privilégié, ce qui permettrait, combiné avec d’autres informations, d’entrer dans la quasi-totalité du système informatique.

L’ONU manipule des données extrêmement sensibles

D’après TNH, le rapport liste parmi les données vulnérables : des documents internes, des bases de données, des emails, des informations commerciales et des données personnelles de membres de l’ONU et de leurs clients.

Vu l’activité des institutions concernées, ces données pourraient être d’encore plus haute valeur : les employés du bureau de l’ONU à Genève travaillent notamment sur les discussions de paix en Syrie, pour le bureau de la coordination humanitaire, ou encore pour la commission économique de l’Europe. Quant au haut-commissariat aux droits de l’homme, il travaille notamment avec des activistes souvent surveillés, menacés d’emprisonnement voire de torture ou de mort par leur gouvernement. Leurs données et leurs échanges avec l’ONU devraient donc être à un très haut niveau de protection.

En 2012, l’ONU avait été épinglée par un audit pour son niveau de risque évalué comme inacceptable. Elle a depuis massivement investi, mais elle n’a pu prévenir cette faille, une des plus grandes de son histoire.

Crédit photo de la une : ele vannucci via Flickr

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux