S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

TAJ : le pirate a eu accès pendant 26 jours à 14 fichiers policiers et dérobé 120 fiches

Un « code à six chiffres », srsly

TAJ : le pirate a eu accès pendant 26 jours à 14 fichiers policiers et dérobé 120 fiches

Illustration : Flock

Le Canard enchaîné révèle que c’est l’algorithme de surveillance des accès au fichier TAJ qui aurait déclenché l’alerte, 13 jours après que le pirate y a eu accès après avoir dérobé l’identifiant et le mot de passe d’un policier.

Le Canard enchaîné révèle que le « fric-frac informatique du ministère de l’Intérieur » avait duré du dimanche 9 novembre au jeudi 4 décembre, soit 26 jours, « une très longue journée portes ouvertes ».

L’intrusion, révélée dans la presse le jeudi 11 et confirmée par le ministre le lendemain, aurait été découverte le samedi 22 novembre, grâce à l’algorithme qui surveille les requêtes effectuées dans le Traitement des antécédents judiciaires (TAJ). Ce fichier recense « 16,4 millions de personnes » ayant été « mises en cause », et dès lors « défavorablement connues » des services de police et de gendarmerie, pour reprendre l’expression consacrée.

« C’est la consultation compulsive – le week-end et la nuit – de ce listing ultra-sensible qui a déclenché l’alerte », souligne le Canard. Il ne précise pas cependant pourquoi il a fallu 13 jours à l’algorithme pour repérer qu’un pirate avait réussi à accéder au système de Circulation Hiérarchisée des Enregistrements Opérationnels de la Police Sécurisés (CHEOPS), le portail permettant d’accéder aux fichiers de la police et de la gendarmerie.

L’article ne précise pas non plus combien de temps il a fallu pour disculper le policier soupçonné d’avoir abusivement farfouillé dans le TAJ, et identifier qu’il s’était fait dérober ses identifiant et mot de passe.

Il relève toutefois qu’alerté, le parquet de Paris a de son côté ouvert une enquête préliminaire le 4 décembre (soit 12 jours après le déclenchement de l’alerte), « date à laquelle le pirate, se sentant sans doute pisté, cesse d’arpenter CHEOPS ».

37 serveurs compromis, 14 fichiers visités, 120 fiches dérobées

D’après le dernier bilan du ministère de l’Intérieur, que le Canard a pu consulter, « les dégâts sont bien plus importants qu’annoncé : 37 serveurs de messagerie sur 250 ont été compromis, et 14 fichiers de police ont été visités, dont celui des personnes recherchées, qui contient notamment les fichés S » :

« Sur le TAJ, où il s’est bêtement fait repérer, Melvin L. a dérobé 120 fiches personnelles et procédé au siphonnage de dizaines de milliers de noms inscrits dans ce fichier sensible. »

Pour accéder à CHEOPS, il suffit d’un identifiant et d’un code à six chiffres

Le Canard souligne que le pirate, interpellé le 17 décembre, aurait profité du fait que « nombre de poulets se tamponnent le coquillard de la sécurité informatique ». Pour se connecter à CHEOPS, les policiers et gendarmes doivent normalement utiliser leur carte professionnelle, dotée d’une puce, ainsi qu’un code à quatre chiffres.

À ceci près que « les poulets, moins disciplinés que les pandores, utilisent à tort et à travers un système de secours sans carte, reposant sur le seul identifiant et un code à six chiffres ». Identifiant et code que le policier aurait partagé en clair dans un e-mail auquel le pirate avait pu accéder.

« Celui qui a fait le coup n’est pas spécialement un cador », précise au Canard un commissaire : « il a laissé plein de traces qui ont permis de remonter à lui ». À défaut de savoir combien d’autres pirates, plus discrets, auraient eux aussi déjà pu accéder à CHEOPS de la sorte, le ministre de l’Intérieur vient d’ouvrir une enquête administrative sur les manquements à la sécurité informatique.

Reste donc aussi à comprendre pourquoi, en 2025, le recours à la double authentification n’a pas encore été rendu obligatoire, surtout pour accéder à un système aussi sensible. Mais également, comme le souligne bohwaz en commentaire, « pourquoi ces systèmes et fichiers sont accessibles depuis n’importe quelle IP et ne sont pas restreints à un intranet sécurisé du ministère de l’intérieur… »

Commentaires (34)

votre avatar
On se demande surtout pourquoi ces systèmes et fichiers sont accessibles depuis n'importe quelle IP et ne sont pas restreints a un intranet sécurisé du ministère de l'intérieur... Si ça se trouve on va apprendre que tout est stocké en clair chez AWS...
votre avatar
Genre avec un VPN, mais vu qu'ils sont contre le chiffrement, ils n'en utilisent pas, c'est noble de leur part.
votre avatar
Le système pour court-circuiter l'authentification forte a probablement été mis à postériori car un (plusieurs ?) haut gradés (ministre ?) était trop neuneu pour se connecter correctement…

Rien de nouveau malheureusement.
votre avatar
Merci, je me suis permis de rajouter votre commentaire à la conclusion du papier.
votre avatar
Si ça se trouve on va apprendre que tout est stocké en clair chez AWS...
Écoutez, suites aux recommandations de l'ANSI, on a tout stocké en "crypté". Mais vu que ni moi ni personne ici ne savait lire le crypté, ben on a tout dû remettre en clair... Vous savez lire le crypté vous ?
votre avatar
On change juste l'encodage des caractères, les pirates pourront plus lire !
votre avatar
« Celui qui a fait le coup n'est pas spécialement un cador »

Il a quand même réussi à s'introduire dans vos systèmes, du con.
votre avatar
Nan mais oui le niveau de la remarque, si c'est un script kiddie, et qu'il a réussi à accéder à tout ça c'est que vos systèmes c'est de la merde…
votre avatar
Il me semble que c'est le style du Canard Enchaîné, pas la communication officielle (ni officieuse) du ministère.
(je crois que les citations proviennent toutes de l'article du Canard, bien que je n'ai pas accès à ce dernier).
votre avatar
@FrédérickL.

je maintiens quand même 😡
votre avatar
Ce sont les propos d'un commissaire cité dans l'article du Canard.
votre avatar
En voulant dénigrer l'attaquant, ils parlent plus d'eux-même que de lui : s'il n'est pas un cador, ils sont pire.
Par ailleurs, ils indiquent qu'il est donc facile de s'introduire dans leur système.
Enfin, cette insulte peut être perçue comme une provocation ou un défi et ainsi encourager d'autres, pas forcément plus compétents, à s'y essayer.
Je rappelle aussi que ces révélations font suite à une communication immédiate (précipitée) du ministre de l'Intérieur Laurzent Nũnez indiquant aucune « trace de compromission grave ». Quand on veut rassurer précipitamment, on prend ainsi le risque de parler pour ne rien dire et/ou mentir.

En résumé, je dirais que c'est exactement ce qu'il ne faut pas faire en termes de communication de crise. :non:
votre avatar
Au moment de l'interview il n'avait pas l'information. Donc il n'a pas menti. Si aujourd'hui tu lui poses la même question, il répondra autrement.
votre avatar
D'où le passage sur la précipitation.

Une belle leçon à une époque où il faut avoir une réponse et/ou un commentaire à tout, tout le temps.
Quand on ne sait pas, on se tait. C'est plutôt sain, même.
Ils font d'ailleurs cela très bien quand ils ne souhaitent pas répondre, et si nécessité en parlant alors pour ne rien dire.
votre avatar
Alors... ce n'est pas une précipitation. En politique c'est ce qui s'appelle un grill.

Ces gens sont des fusibles (très bien payés) qui sont la pour prendre les tomates (comme au théâtre).

Ne pas faire de réponse ou ne pas se pointer sur un plateau télé aurait été pire d'après le manuel (non pas le Valls) de la com' qui va bien.

Il faut comprendre que tout ce que l'on voit dans une télé y compris les fameuses informations (du JT) ne sont que des publicités (les campings en été) ou des "calmez-vous, pas de panique" (sous entendu contrôle des masses).

Une fois que l'on approche les chose de cette manière avec l'article en main, on sait d'avance ce qu'il va dire.

Le fait que Nuñez n'ait pas officiellement l'information au moment de l'interview fait partie de la stratégie. Ça permet de faire un "pas de panique" en toute honnêteté.
votre avatar
Reste donc aussi à comprendre pourquoi, en 2025, le recours à la double authentification n'a pas encore été rendu obligatoire, surtout pour accéder à un système aussi sensible.
+1
votre avatar
Quand on parle de 120 fiches « dérobées », c'est qu'elles ont ét supprimées du système ?

Il faut comprendre le mots dans le sens des zayandroits, "le téléchargement c'est du vol" ?
votre avatar
Dans le sens des zayandroits. Une copie a été faite, et potentiellement partagée.
votre avatar
J'ai peut-être mal compris ou ce n'est pas indiqué, mais quel est le vecteur d'intrusion initial utilisé ? comment a t-il accédé à la messagerie ou au mail du policier ?
votre avatar
L'information n'a, à ma connaissance, pas été rendue publique
votre avatar
Les serveurs de messagerie complètement obsolètes (et qui auraient dû être coupés dès 2017).
votre avatar
C'est du beau bricolage, cette façon de fermer les portes !

Après il ne faut pas s'étonner qu'il ne reste que des bouts de ficelle pour la sécurité quand on crame le budget dans des nouveaux logiciels d'enregistrement des plaintes et du renouvellement de PC pour cause de win11.
votre avatar
Tout fichier est une maltraitance par nature.

Tout fichier rassemble des informations au sujet desquelles il faudrait se poser la question des dégâts lorsqu'elles seront exfiltrées. "Quand", pas "Si" : b.a.-ba d'une réflexion de sécurité informatique.

Tout fichier contient un accès par l'humain, tôt ou tard, quelles qu'en soient les raisons : il convient donc aussi d'intégrer dans l'équation les comportements humains, c'est à dire une créativité sans limite quand il s'agit d'être fainéant ou feignant, pour contourner règles & processus aux fins de confort personnel. Il convient donc de prendre en compte ce facteur de réduction de la sécurité d'accès, qui augmente le score de risque.

À la lumière de risques sous-estimés, d'une gravité sous-estimée, de dégâts sous-estimés, et d'une utilité dans la prévention d'actes illégaux surestimée, ne serait-il pas l'occasion de questionner la maladie française de vouloir ainsi continûment surveiller chaque jour un peu plus sa population par des fichiers de police ?

Par ailleurs, et plus que jamais, la question de ces outils atterrissant dans les mains d'anti-démocrates ayant les clés de l'exécutif n'est pas une vue de l'esprit, en supposant qu'elle l'ait jamais été.
votre avatar
À ceci près que « les poulets, moins disciplinés que les pandores, utilisent à tort et à travers un système de secours sans carte, reposant sur le seul identifiant et un code à six chiffres ». Identifiant et code que le policier aurait partagé en clair dans un e-mail auquel le pirate avait pu accéder.
Genre, tu as deux portes :

  • la première ressemble à celle d'une banque où il faut montrer ta carte d'identité à une caméra, que le guichetier te demande ta date de naissance et celle de ton chat, qu'il appuie sur le bouton.

  • la seconde est une porte en bois avec une serrure que tu trouves dans tous les magasins de bricolage.



Qui passerait par la première porte en sachant que la deuxième fait la même chose, plus rapidement ?

D'une : qui a formulé l'idée de fournir une alternative de connexion "en 15 secondes" en plus de celle "en deux minutes" (oui, il faut sortir la carte pro du portefeuille) ?
De deux : qui a validé un concept aussi con que ça ?
De trois : pourquoi des personnes pourtant sensibilisé à la sécurité (au sens général j'entends) se partage un couple ID / mot de passe ?

Parce qu'autant les deux premiers, je peux accepter que ce soit le chef de service bientôt à la retraite, ayant une flemme olympique, qui a poussé cette idée.
Autant la dernière, j'arrive pas à comprendre. Mettre des agents armés pour un évènement (transport de prisonnier, de personnalité, de biens de valeurs, autour de sites sensibles, ...) serait une évidence pour beaucoup mais un identifiant / mot de passe personnel, c'est trop dur ?
votre avatar
c'est clair tu peux mettre tous les MFA du monde si tu laisse la porte de derrière ouverte autant tout laisser ouvert, faut vraiment être demeuré il n'y a pas d'autre mot, ça doit être le même qui a géré les mots de passe du Louvre...
votre avatar
ce qui m'inquiète c'est tous ceux qui ont ue accès au serveur de messagerie compromis mais quiont su rester discret
votre avatar
Et d'ailleurs quel type de serveur de messagerie et pourquoi il était pas patché ...
votre avatar
16,4 millions de personnes dans le TAJ, ça fait quand même 25% de la population (enfant compris) défavorablement connus... Soit on a un problème avec les gens de ce pays, soit on a problème avec ce fichier qui recense tout et n'importe quoi
votre avatar
On a un gros problème avec les recenseurs ... ici la flicaille !

Hors sujet mais pas trop : lemonde.fr Le Monde
votre avatar
Reste donc aussi à comprendre pourquoi, en 2025, le recours à la double authentification n'a pas encore été rendu obligatoire
Ils ont du 2FA avec la carte + le code à 4 chiffres... Mais ils ont aussi un système tout naze avec identifiant et code à 6 chiffres. ^^
Du coup, effectivement, c'est pas "obligatoire" au sens propre du terme, mais j'imagine bien qu'ils vont indiquer que "oui, oui, on a bien du 2FA, toussaaaa". ^^'
votre avatar
Et après, on va encore avoir le Secrétaire Général Adjoint de la CNIL qui va nous soutenir que les attaques sont « sophistiquées » quand on lui demandera ce qu’il compte faire pour mettre fin à ce bordel…
votre avatar
Heureusement que les etats ne sont pas soumis au rgpd, par ce que 4% du budget de la France on aurait encore plus de soucis...
C'est quelques part injuste et classique
Les entreprises on des contraintes de dingues a respecter qui gêne le business et les états son exempt de tout contrôle et n'ont même pas la volonté de servir de modèle....
votre avatar
Les états sont soumis au RGPD, mais en France du moins, il n'y a pas d'amende ; de toute façon, ça serait l'état qui la toucherait.
votre avatar