L’ONU admet avoir subi une cyberattaque l’été passé
Les Nations Unies ont reconnu avoir été piratées en juillet 2019, après les révélation du média The New Humanitarian. Les bureaux de Genève et de Vienne ont été touchés et les données du personnel ont pu être dérobées.
L’Organisation des Nations unies (ONU) a reconnu avoir subi une cyberattaque en juillet 2019 au sein de ses bureaux genevois et viennois, suite aux révélations du média The New Humanitarian. «Les pirates ont réussi à accéder à notre Active User Directory, qui contient les identifiants de notre personnel et de nos appareils. Cependant, ils n'ont pas réussi à accéder aux mots de passe. Ils n'ont pas non plus réussi à accéder à d'autres parties du système», tente de rassurer Rubert Colville, porte-parole du Haut-Commissariat des Nations Unies aux droits de l’homme (HCDH). Les serveurs ont alors été immédiatement fermés pour éviter que l’attaque ne se propage, précise-t-il.
C’est pourtant un autre son de cloche que rapporte The New Humanitarian, qui a demandé des explications au porte-parole de l’ONU Stéphane Dujarric: «l'attaque a compromis des composants clés de l’infrastructure. Comme la nature et l'ampleur exactes de l'incident n'ont pu être déterminées, [les bureaux des Nations unies à Genève et à Vienne] ont décidé de ne pas rendre publiques les informations sur la brèche». Il aurait été demandé aux employés de changer leurs mots de passe après l’attaque, sans leur donner davantage d’informations sur l’ampleur de l’intrusion.
Selon les journalistes de l’Associated Press, qui ont pu accéder à un rapport confidentiel décrivant l’attaque, les assaillants auraient profité d’une vulnérabilité dans SharePoint, connue depuis un an et corrigée par Microsoft au printemps 2019. Selon le même rapport, des documents internes, des bases de données, des e-mails, des informations commerciales et des données personnelles ont pu être mis à la disposition des pirates. Au total, des douzaines de serveurs auraient été compromis dans trois endroits différents: l'Office des Nations unies à Vienne, l'Office des Nations unies à Genève et le siège du Haut-Commissariat des Nations unies aux droits de l'homme (HCDH) à Genève. En raison de son statut diplomatique, l’ONU n'est pas légalement tenue de signaler ce type de violation à un régulateur ou au public.
