Tech&Co
Cybersécurité

Le piratage téléphonique de la mairie de Saint-Malo lui coûte 80.000 euros

La mairie de Saint-Malo a été victime d'un piratage qui a permis à ses auteurs de passer des coups de fil à l'étranger aux frais de la ville.

La mairie de Saint-Malo a été victime d'un piratage qui a permis à ses auteurs de passer des coups de fil à l'étranger aux frais de la ville. - Fred Tanneau-AFP

Des collectivités locales ont déjà subi des piratages de leur standard téléphonique. La dernière en date est la mairie de Saint-Malo, avec un préjudice de 80.000 euros de communications passées à l'étranger. Explications.

Les systèmes téléphoniques des entreprises ou des collectivités restent des proies assez faciles pour les pirates informatiques. Avec à la clé, pour celles qui en sont victimes, des dizaines de milliers d'euros de factures indues liées à des communications passées à leur insu, à l'étranger, les plus coûteuses...

En 2015, le conseil départemental des Deux-Sèvres avait été victime de 43.000 euros d’appels téléphoniques frauduleux à la suite d'un piratage, que les spécialistes dénomment phreaking. C'est aujourd'hui le cas de la mairie de Saint-Malo. Celle-ci a révélé, lors de la tenue d'un conseil municipal le soir du 10 novembre 2016, avoir subi un piratage informatique de son système téléphonique pendant quatre jours au mois de mai 2016.

Les "hackers" ont pris à distance le contrôle du standard pour passer des appels vers l'Afrique, surtout le Burkina Faso et l'Amérique Latine, révèle le site de la radio France Bleu. La mairie n'a révélé publiquement la mauvaise nouvelle que six mois après que le piratage a été réalisé car le montant du préjudice était tel qu'il a fallu en informer les élus.

En effet, ce sont près de 80.000 euros de communications indues qui ont été passées aux frais de la ville. "On est stupéfaits, nous qui sommes extrêmement soucieux de toutes les dépenses, de devoir assumer une facture de ce montant-là", déplore Michèle Lombardie la première adjointe au maire de Saint-Malo, sur France Bleu.

La responsabilité du prestataire peut être engagée

La technique utilisée par les pirates consiste à transformer le standard téléphonique dont ils ont pris le contrôle à distance, en un réseau "open bar" pour ceux qui l'utilisent gratuitement et frauduleusement. Il y parviennent en usurpant (par exemple) un mot de passe mal protégé par exemple pour accéder aux fonctions d'administrations du système.

Il peut s'agir d'une fraude organisée au bénéfice d'une personne ou de ses familiers mais le plus souvent, étant donné les montants impliqués, les escrocs réussissent à revendre à plusieurs dizaines de personnes, l'accès au réseau téléphonique qu'ils ont piraté. Ces appels frauduleux sont passés généralement le week-end, la nuit ou les jours fériés pour ne pas attirer l’attention de l'entreprise piratée. Celle-ci ne se rend alors compte du préjudice qu'elle a subi qu’à la réception de sa facture télécoms.

Apparemment, dans le cas de la mairie de Saint-Malo, les responsables municipaux ont demandé des comptes à leur prestataire en charge de leur installation téléphonique. La responsabilité de ces installateurs peut être engagée en cas de négligence comme l'oubli du changement du mot de passe initial, fixé en usine lors de la livraison du système téléphonique, ou l'absence de mise à jour logicielle régulière sur le plan de la sécurité.

Frédéric Bergé