Piratage des données à la CNPS : l’entreprise minimise l’attaque

Alors que certaines de ses données se sont retrouvées sur le Darkweb, l’entreprise tente de rassurer les usagers.

Dans un communiqué de presse publié par la Caisse nationale de prévoyance sociale ce 27 septembre 2024, le directeur général de la CNPS sans nier l’attaque dont l’entreprise a été victime, tente de minimiser leur impact. Noël Alain Olivier Mekulu Mvondo Akame parle de données de faibles volumes, sans grande importante et sans incidence sur le fonctionnement de l’entreprise. «Les documents en la possession de ces arnaqueurs sont consultables et partagés au sein de la CNPS, ceux publiés n’étant que des outils de travail desdits collaborateurs, de faible volume et sans incidence sur le fonctionnement de la CNPS », peut-on lire. Sur la méthode utilisée par les pirates, le CNPS fait savoir que « les informations en possession des maîtres chanteurs proviennent des ordinateurs de deux agents de la CNPS ayant accidentellement cliqué sur un lien malveillant ».

Une rançon exigée

Le DG de la CNPS ajoute que les pirates ont exigé une rançon que l’entreprise a refusé de payer avant d’ajouter « ces individus ont tenté de faire croire qu’ils avaient piraté le système d’information de l’organisme, avec l’aide de prétendus influenceurs sur les réseaux sociaux, dans le but de se partager la rançon exigée ».

10 GB de données publiées sur le Darkweb

Le 22 septembre 2024, des hackers ont rendu publiques près de 10 GB de données volées à la Caisse nationale de prévoyance sociale (CNPS) en les publiant sur le Darkweb. Ces informations accessibles en téléchargement libre représentent un tiers des 30 GB de données que les cybercriminels affirment détenir.

Le communiqué

Le 13 septembre 2024, la CNPS avait d’abord publié un communiqué pour démentir fermement les informations circulant sur les réseaux sociaux, selon lesquelles son système d’information aurait été compromis. « À ce jour, le système d’information de la CNPS fonctionne normalement », avait déclaré la direction générale dans un texte partagé sur ses pages officielles. Le communiqué fustigeait également les « prétendus influenceurs qui colportent avec une délectation malveillante des informations relatives à la CNPS, aussi fausses soient-elles ». « Les informations présentées comme confidentielles et susceptibles d’être divulguées par ces truands à col blanc sont libres d’accès, dans la mesure où la CNPS applique une politique de transparence exemplaire dans ses activités », annonçait le Directeur général.

La Cnps a-t-elle ignoré les alertes ?

Herve Koueke, un développeur BackendNet affirme avoir écrit à la CNPS et rencontré des cadres il y’a des années, notamment en septembre 2018 pour leur signaler des failles dans le système. Une rencontre avec des cadres de l’entreprise qui, selon lui, n’avait pas abouti au but souhaité qui était de prendre des mesures pour prévenir ces attaques. Aujourd’hui il donne cinq conseils à l’entreprise.

La validation et le nettoyage des données entrées. « Les applications doivent valider toutes les entrées utilisateur pour éviter des attaques comme l’injection SQL, le cross-site scripting (XSS) ou les attaques par injection de commande. Un contrôle rigoureux des entrées empêche l’exécution de code malveillant ». Fait-il savoir.

Lire aussi : Sécurité sociale : la CNPS exige l’immatriculation du personnel domestique par leurs employeurs

La gestion des sessions sécurisées. Pour Herve Koueke l’entreprise doit utiliser des mécanismes de gestion de session sécurisés, comme la rotation régulière des tokens de session, et garantir que les sessions expirent après une période d’inactivité.
– Stockage sécurisé des mots de passe. « Les mots de passe des utilisateurs doivent être hachés avec des algorithmes de hachage sécurisés (par exemple, bcrypt, scrypt) et salés pour éviter qu’ils ne soient facilement réversibles en cas de fuite » ajoute Herve Koueke. Une proposition déjà faite en son temps et envoyée à la direction des systèmes d’information de l’entreprise fait-il savoir.

Lire aussi : Cybercriminalité : 61 % des cas concernent des escroqueries en ligne

Une autre proposition ce sont les Contrôles d’accès au niveau des applications. Herve Koueke pense qu’il faut « implémenter des mécanismes de contrôle d’accès granulaires pour s’assurer que les utilisateurs n’ont accès qu’aux ressources qui leur sont destinées. Cela inclut la séparation des privilèges et l’utilisation de modèles comme RBAC (Role-Based Access Control) »ajoute-il. En fin, selon lui, il faut sécuriser les API. Pour lui, les interfaces de programmation d’applications (API) doivent être protégées par des mesures comme l’authentification par tokens, les limites de taux (rate limiting), et des protocoles sécurisés comme OAuth2. « Cela empêche les abus, notamment les attaques par déni de service ou le vol de données », conclut-il.