Dans une mise à jour de son communiqué de presse révélant hier le piratage de la base de données Ariane, le Ministère en dit un peu plus.
On ne sait pas quand l’attaque a eu lieu exactement, mais quand le ministère en a eu connaissance : le 5 décembre.
On sait également maintenant que le ministère en a informé la Cnil dans les temps impartis réglementés par le RGPD. “Conformément aux exigences légales, le Ministère de l’Europe et des Affaires étrangères en a informé la CNIL dans les 72 heures”, précise-t-il. Il a ensuite “lancé une procédure d’information auprès de toutes les personnes concernées“, comme cela est dans ses obligations également. Les mails reçus par les personnes concernées avaient d’ailleurs alimenté un temps l’idée qu’il s’agissait d’une campagne de désinformation, d’une fausse nouvelle, voire d’une campagne de phishing.
On connait également le nombre de personnes concernées par ce piratage : plus d’un demi-million, très exactement 540 563 personnes déclarées comme contacts en cas d’urgence par les utilisateurs d’Ariane – et non pas les titulaires des comptes eux-mêmes.
Mais la méthode utilisée n’a pas, elle, été dévoilée. Or le ministère la connait puisqu’il spécifie que “des mesures correctives ont été prises pour empêcher la reproduction d’une attaque selon les mêmes procédures“…