Au début du mois, la mairie de Lille communiquait pour annoncer qu'une attaque informatique était en cours. Elle se voulait rassurante cependant, expliquant que tout fonctionnait, ou presque.
Néanmoins, des données ont bien été dérobées, dont certaines à caractère personnel. C’est ce que la mairie indique dans une mise à jour sur son site, précisant qu’elle a immédiatement informé la CNIL et l’ANSSI, « avec lesquelles elle est en contact régulier depuis le 1er mars ». Les communes de Lomme et Hellemmes sont, elles aussi, concernées.
Les conséquences sont, malheureusement, prévisibles : la mairie de Lille demande aux « citoyens qui ont ou ont eu recours aux services des villes de Lille, Lomme et Hellemmes à faire preuve de la plus grande prudence au moment de la réception de mails ».
Elle invite donc les personnes qui recevraient des emails « suspects » à ne pas y répondre, ne pas cliquer sur les liens et ne pas ouvrir les pièces jointes. Surtout, elle recommande de changer le mot de passe du compte servant à la messagerie pour les services de la mairie.
Commentaires (14)
#1
Martine, au secours !!
#2
La photo montre la Grand’place de Lille, pas la mairie
#2.1
Yep
Et ce bâtiment est la vielle bourse.
Un peu de pub : la boutique dont l’auvent est déployé, au coin à droite est le Chat Bleu, aux tarifs allant de cher à très cher, mais leur chocolat est top de cher top !
#3
Ça fait plusieurs années que je reçois du spam sur mon adresse mail, alors que j’utilise un alias que je n’ai utilisé qu’avec les sites de la mairie de Lille.
#4
Ça veut dire qu’ils avaient des mots de passe stockés dans leurs systèmes ? C’est peut-être pas si mal que l’ANSSI mette son nez là-dedans…
#4.1
J’imagine que même si ton mot de passe est chiffré, il vaut mieux le changer parce que tu ne sais pas combien de temps le chiffrement va résister, non ?
#4.2
la bonne pratique, c’est de ne pas stocker de mot de passe dans une base de données. Nulle part, jamais. En très court, quand tu reçois ton mot de passe du côté de ton appli, tu ajoutes un sel, tu calcules un hash et tu compares ce hash à ce qui est stocké en base.
#4.3
Merci pour cette explication, je ne suis plus trop au fait des règles de développement d’appli.
#4.4
Pour en arriver là, il faut déjà déployer https sur les services de la ville, ce qui n’est pas le cas sur pas mal de services de mairies. Et je ne parle pas de petites bourgades mais de villes de plusieurs dizaines de milliers d’habitants.
#4.5
Ajoute à cela des sites officiels de municipalités qui redirigent vers d’autres sites déguisés en services publics.
https://linuxfr.org/users/ysabeau/journaux/j-m-ai-fait-eue
#4.6
ça n’a juste aucun rapport. Les analogies sont foireuses en général, mais c’est un peu comme si je disais qu’il faut attacher sa ceinture quand on part en voiture, et que tu me répondais que pour que ça soit efficace il faut activer l’airbag.
Ce sont 2 éléments de sécurité, il faut les mettre en place tous les deux quand on fait un site ouvert nécessitant une authentification, mais pour ce qui concerne l’authentification la bonne pratique actuelle est que le mot de passe n’est jamais stocké directement, même sous forme cryptée avec le dernier algo quantique inviolable à la mode.
(ce qui n’enlève rien au fait que le HTTPS fait aussi partie de l’hygiène élémentaire)
#4.7
J’y vois un rapport dans la mesure où faire circuler un mot de passe en clair annule toute la chaine de sécurité. Ce n’est donc pas simplement complémentaire contrairement à ton exemple.
#4.8
pan, dans les dents !
Merci
#5
“précisant qu’elle a immédiatement informé la CNIL et l’ANSSI”
C’est marrant parce que dans la brève “Au début du mois” on peut lire :
“Audrey Linkenheld, première adjointe au maire, a déclaré : « Nous avons reçu une alerte de l’ANSSI”
J’ai l’impression que la mairie se fait passer pour ce qu’elle n’est pas, un acteur efficace en matière de sécurité.