La Cour pénale internationale (CPI) a déclaré dans un communiqué publié sur Twitter avoir subi « un récent incident de cybersécurité » en fin de semaine dernière. Ses services ont détecté « une activité anormale affectant ses systèmes d'information ». Les détails manquent par contre cruellement à l’appel.
La CPI déclare avoir adopté des mesures immédiates pour y répondre et atténuer l’impact de la cyberattaque. Elle explique avoir obtenu de l'aide de son « pays hôte », les Pays-Bas, pour mettre en place des mesures supplémentaires.
Renforcer la sécurité en accélérant sur… le cloud
Elle dit vouloir, entre autres, accélérer son utilisation « de la technologie cloud » pour renforcer son cadre de cybersécurité et annonce ne pas vouloir fournir « davantage d'informations sur cet incident à l'heure actuelle ». Le porte-parole de la CPI a également refusé de donner des précisions à plusieurs de nos confrères américains, impossible donc de connaitre l’étendue des dégâts. La priorité est pour le moment donnée à la poursuite de ses activités.
Rappelons que la CPI possède des documents hautement sensibles comme des preuves de crimes ou des noms protégés de victimes ou de suspects, mais elle n’a donné aucune information sur le genre de documents qui ont pu être touchés par l’attaque.
Enquêter sur les cyberattaques et en être la cible
Silvia Fernández de Gurmendi, la présidente de l'Assemblée des États Parties, principal administrateur de la CPI, a affirmé sur Twitter soutenir « fermement » la CPI et être « profondément préoccupée par l’incident de cybersécurité subi par la CPI, [saluer] les mesures prises pour comprendre son impact et en atténuer les effets, et également l'excellente coopération reçue de l'État hôte ».
La CPI venait d'indiquer que son bureau enquêterait et poursuivrait désormais tout crime de piratage informatique qui violerait le droit international, tout comme elle le fait pour les crimes de guerre commis dans le monde physique.
En mars dernier, son tribunal permanent, chargé de juger les crimes de guerre, avait délivré un mandat d'arrêt à l'encontre du président russe Vladimir Poutine pour la déportation d'enfants ukrainiens.
Avocats et personnels de la CPI impactés
Reuters rapporte que la présidente du barreau de la CPI, Marie-Hélène Proulx, a expliqué que les avocats des accusés et des victimes avaient été touchés « de la même manière que le personnel de la Cour » par les mesures de sécurité (non spécifiées) prises en réponse à l'incident.
L'agence de presse explique aussi que le service général de Renseignement et de Sécurité néerlandais (Algemene Inlichtingen- en Veiligheidsdienst, AIVD) a déclaré dans son rapport annuel 2022 que la CPI présentait « un intérêt pour la Russie, car elle enquête sur d'éventuels crimes de guerre russes en Géorgie et en Ukraine ». Il rappelle aussi avoir débusqué en juin 2022 un agent militaire russe se faisant passer pour un Brésilien dans le but d'infiltrer la Cour.
Commentaires (18)
Quand est-ce qu’ils comprendront que le « Cloud » c’est pas magique, surtout d’un point de vue cybersécurité ?
Cf les failles sur Azure, Kubernetes & co, la dernière fuite coté Microsoft (38To)…
Au plus près des américains, ça simplifie les choses. D’ailleurs je savais pas qu’il y avait une loi US nommé “Hague Invasion Act” qui permettrait aux US d’envahir le pays-bas pour libérer un ressortissant américain
Faut distinguer les problèmes venant des produits de leur utilisation. La fuite de 38To est une vraie erreur d’utilisation de la plateforme. Créer un sas token avec bien trop de droits et une durée de validité trop grande va à l’encontre de toutes les bonnes pratiques. Si en plus il est publié dans un repo github, bah ca revient à ouvrir portes et fenêtres de sa maison en criant qu’on part en weekend.
Les gros cloud providers sont quand même ceux qui ont le plus de moyens humains et financiers pour faire de la sécurité.
De toute façon, Cloud ou pas Cloud, la (cyber)sécurité pêche toujours par son point le plus faible.
Le plus souvent un humain qui n’a pas les bons reflexe de sécurité (voir les cas de pishing notamment).
Et les cas de pishing sont de plus en plus facilités par le biais des connaissances accumulées sur les réseaux sociaux.
Avec le Cloud tu as certes une surface d’attaque beaucoup plus grande mais aussi des mesures de protection beaucoup plus efficaces.
Sécurise une solution d’hébergement “maison” c’est compliqué. Rien que mettre en place de l’identification multi-facteur…
Tout dépend de ce qu’on entend par “Cloud”. Iaas, Paas, Saas, DaaS, … ? Parce, de ce qu’il me semble, certaines formes reviennent au même point de vue sécurité qu’une infra en local.
Et toujours pas d’article sur le projet de loi SREN ?
Sauf que les articles sur des failles / piratages récents ont tendance à prouver le contraire, grosse opacité, pratiques douteuses… :
https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-flaw-after-being-called-irresponsible-by-tenable-ceo/
Pourtant on n’ arrête pas de parler de PME peu sécurisées ;-) On en parle peu sur NI en particulier, peut-être parce que les citer à chaque fois occuperait tout l’espace éditorial du site, mais ça existe.
Là, on parle de la CPI, pas de la PME du coin… elle est censée avoir le budget pour avoir une infra interne qui tient la route.
Le soucis du on-premise, c’est qu’on a trop tendance à ne voir la sécurité que par les firewalls.
Le Cloud aussi cela dit. J’ai eu une discussion récemment sur le sujet pour l’architecture d’une application estimée comme “critique” en matière de confidentialité. J’ai eu droit à tout l’armada de prérequis infrastructure (réseau privé, chiffrement en BYOK etc), et à un moment j’ai aussi rappelé que l’élément faillible de ce bordel, c’est l’appli en elle-même. Et pour le coup personne n’avait pensé au SCA, SAST et DAST… Donc j’ai dit zéro déploiement aussi longtemps que le code n’avait pas été scanné.
Donc bon, mettre un coffre fort c’est bien, mais laisser la porte ouverte ça sert à rien.
La sécurité IT est présente à tous les endroits de la chaîne, mais souvent on l’oublie hélas.
Mon propos tenait surtout à garder en évidence que le cloud ne signifie absolument pas “safe and secure”. Ce sera toujours une question de mise en oeuvre et de réitération des contrôles de qualité ainsi que d’une maintenance régulière. Et ceci, que ce soit On-Premise ou On-Cloud. Il y a des structures sur site qui sont résilientes, avec un haut degrés de confidentialité et de sécurité. Tout comme il y en a qui le sont tout autant avec une technologie cloud. Mais miser sur le cloud, c’est miser sur une confiance en un tiers. Et là, il faut que le “contrat” soit béton pour éviter toute déconvenue (et de ce que je constate autour de moi, ce n’est pas la méthodologie la plus mise en pratique….)
ta première partie de préerquis infra, c’est de l’admin réseau, mais ton SCA SAST DAST c’est pas un autre métier ? car ça j’en croise pas beaucoup , juste 1 ou 2 , moi je gère des réseaux je peux pas faire ça ce ne sont pas mes compétences ( dans le cas des SSII , c’est sensé être le presta logiciel qui doit “certifié” ça )
J’ai jamais dit que c’était la même personne qui doit s’occuper de tout. C’est une vision globale à avoir dans le cadre de la mise en oeuvre d’un projet logiciel.
On est d’accord.
Et vu la taille de la structure, l’efficacité me semble honorable ;-)
Pour sortir des considérations techniques, qui avec toute la bonne volonté et moyens possibles imaginables reste impossible à garantir à 100%.
D’un point vu purement humain , cui bono ?
A force de planter des clouds, tous les problèmes ressemblent à des planches…