Cyberattaque à l’encontre de la CFDT : les mesures mises en place

Pour rappel, nous avons prévenu le 19 février l’autorité compétente (la Cnil) et porté plainte auprès du parquet judiciaire. L’enquête de la police est en bonne voie et nous espérons que justice sera rendue. Les adhérentes et adhérents et anciens adhérents éventuellement concernés ont aussi été informés dès les 19 et 20 février. 

1 – Origine de la violation 

C’est en utilisant les identifiants et mot de passe d’un responsable CFDT départemental (dont il avait piraté le compte) que le cyberattaquant a accédé à l’application « Cnas » et la base de données qu’elle hébergeait. Le cyberattaquant est parvenu à aller au-delà des droits d’accès du compte piraté (normalement limités au département géographique de l’utilisateur) et dérobé les données de l’ensemble des adhérents et d’un grand nombre d’anciens adhérents, dont une partie avait été anonymisée, sur tout le territoire français. 

2 – Nature et conséquence possible de la violation

Après investigations, nous pouvons confirmer que les données suivantes ont été dérobées : nom, prénom, adresse postale et appartenance syndicale (numéro d’adhérent ou d’ex-adhérent, date d’adhésion, syndicat d’affiliation). Nous confirmons qu’aucun numéro de téléphone, aucune adresse mail, aucune pièce d’identité, aucune information financière ou bancaire n’a été concernée par la cyberattaque. L’atteinte à la vie privée des adhérents et ex-adhérents concernés est importante. La nature limitée des données dérobées élimine en grande partie le risque de leur utilisation éventuelle à des fins frauduleuses (pas de possibilité de tentative de fraude financière, pas de risque de vol d’identité, risques très limités de démarchages non sollicités, …).

3 – Actions entreprises afin de renforcer la sécurisation et prévenir de nouvelles tentatives d’attaque

Sécurisation immédiate du dispositif : 

• Fermeture temporaire (jusqu’à la résolution du problème) de l’accès de l’ensemble des utilisateurs et utilisatrices à l’application Cnas
• Fermeture pendant 6 jours de l’accès de l’ensemble des utilisateurs à deux autres applications afin de prévenir tout accès non autorisé. Ces applications ont été réouvertes après confirmation qu’elles n’ont aucunement été concernées par l’attaque. Des mesures de sécurité additionnelles ont été mises en place pour renforcer quoi qu’il arrive la sécurité de ces 2 bases de données.

Limitation des droits d’accès et renforcement du dispositif de sécurité : 

• Mise en place de la restriction des accès à la France. 
• Révision du protocole d’authentification et restriction de la possibilité de créer de nouveaux utilisateurs.
• Révision et verrouillage des droits d’accès, déjà limités au département géographique et au syndicat de l’utilisateur, afin de réduire considérablement l’impact éventuel d’un utilisateur compromis (en cours). 
• Evolution de l’hébergement de cette application qui (contrairement à d'autres applications) n’était pas hébergée sur nos propres serveurs. 

Renforcement des règles de sécurité de la politique de mots de passe : 

• La modification obligatoire des mots de passe individuels a été lancée auprès de l’ensemble des utilisateurs de ces 3 applications (environ 5 000 personnes) ainsi que pour l’accès à l’espace adhérent CFDT pour l’ensemble des adhérents (environ 640.000 personnes). 
• Le déploiement de la double authentification (mot de passe + code envoyé par mail ou sms) pour l’accès à ces applications ainsi qu’à l’espace adhérent a été avancé afin d’être immédiatement opérationnel. 
• Mise en place de règles de complexité et d’un système de rotation pour les mots de passe.

Pour toute question ou information complémentaire concernant la protection de vos données personnelles, nous vous invitons à contacter la Délégation confédérale à la protection des données à l’adresse mail DPO@CFDT.FR .