(AFP) – Le CICR, qui a été victime d’une grave cyberattaque ayant permis à des pirates informatiques d’accéder à des données très sensibles, a assuré mercredi qu’il s’agissait d’un “acte criminel”.
Dans une lettre ouverte, le directeur général du Comité international de la Croix-Rouge, Robert Mardini, explique que “cette attaque était ciblée car les pirates informatiques ont élaboré un code conçu expressément pour être exécuté sur les serveurs concernés du CICR“. Cette attaque sophistiquée, qu’il qualifie d'”acte criminel“, visait “à protéger leurs activités contre toute détection et toute enquête future”.
Un mois s’est écoulé depuis que le CICR, dont le siège se trouve à Genève, a découvert le piratage de certains de ses serveurs hébergeant les données personnelles de plus de 515 000 personnes à travers le monde, y compris des détenus et des personnes séparées de leur famille à la suite de conflits, d’une catastrophe ou d’une migration.
Ces données provenaient d’au moins 60 sociétés nationales de la Croix-Rouge et du Croissant-Rouge à travers le monde, qui, lors de conflits et de catastrophes, s’emploient à élucider le sort des personnes disparues, échanger des messages familiaux et regrouper des familles.
Après l’attaque, le CICR s’est dit prêt à dialoguer, directement et anonymement, avec les hackers pour leur expliquer la portée de leur geste, mais jusqu’à présent, “on a eu aucun contact avec les pirates”, a indiqué mercredi à l’AFP un porte-parole de l’organisation.
Selon M. Mardini, “les pirates ont profité d’une vulnérabilité qu’aucun de nos systèmes de cyberdéfense n’avait détectée et, une fois infiltrés dans notre réseau, ont déployé des techniques afin de se faire passer pour des utilisateurs autorisés”.
Monde numérique et réel : une cible ni dans l’un, ni dans l’autre
Les équipes du CICR continuent de travailler pour comprendre comment cette attaque a pu se produire, quelles sont ses ramifications et pour informer les personnes dont les données ont été touchées. “L’approche neutre et impartiale” du CICR est “cruciale pour pouvoir
intervenir en toute sécurité. Nous appliquons la même approche dans le monde numérique que dans le monde réel – et ne devons donc être pris pour cible ni dans l’un, ni dans l’autre”, relève M. Mardini. “Nous comptons maintenant renforcer notre dialogue avec les États et les acteurs non étatiques pour exiger explicitement que la protection accordée à
la mission humanitaire de la Croix-Rouge et du Croissant-Rouge s’étende également à nos bases et infrastructures de données”, indique-t-il également.