La plateforme de formation en ligne E-campus de la police nationale a été victime d’un piratage mi-mars exposant les données de plus de 170 000 agents. Un nouvel incident qui relance les inquiétudes autour de la sécurité des prestataires externes.

E-campus, une plateforme de formation en ligne de la police nationale gérée par un prestataire, a été la cible d’un piratage les 17 et 18 mars derniers. La Direction générale de la police nationale (DGPN) a indiqué à France Info que : « Des données d’identification des policiers actifs, administratifs et contractuels ont été consultées par un acteur malveillant. Ces données ne sont pas liées à des fichiers de police ». Des mesures correctives ont été mises en place afin de contenir l’incident. Les investigations, elles, se poursuivent.

Dans un post sur X, le hacker éthique SaxX a indiqué que les informations de plus de 170 000 agents de police ont été mises en vente sur le dark web. Les données volées concernent : nom, prénom, mail professionnel, ville, pays, fuseau horaire, informations utilisateurs, accès, premières et dernières connexions, modules suivis, badges obtenus, outils et portails utilisés.

Des policiers exposés 

Au-delà des risques de phishing et d’ingénierie sociale, ce vol peut représenter un risque pour les agents exposés. « Ces données peuvent sembler banales, mais elles ne le sont pas. En les recoupant avec les millions de données personnelles déjà piratées, elles exposent et mettent en danger plus de 170 000 policiers… », met en garde SaxX.

Cette attaque repose également l’éternelle question de la sécurisation de la chaîne d’approvisionnement, qui élargit considérablement la surface d’attaque. En effet, bien souvent, les attaquants ne visent pas directement les infrastructures critiques de l’État, mais parviennent à les compromettre par l’intermédiaire d’un sous-traitant.C’est d’ailleurs un enjeu la directive européenne NIS 2, qui vise à renforcer la résilience face aux cyberattaques sur toute la chaîne d’approvisionnement.