Près de 20 000 mots de passe d’agents publics français découverts sur le dark web, selon NordPass

Une étude de NordPass, appuyée sur la plateforme NordStellar de surveillance du dark web développée par Nord Security, révèle la présence de milliers de mots de passe liés à des comptes de fonctionnaires français accessibles publiquement sur le dark web.

Chiffres et institutions concernées

Depuis « le début de l’année dernière », les chercheurs ont identifié 19 538 mots de passe attribuables à des comptes de fonctionnaires français. Ces mots de passe étaient en accès libre, c’est‑à‑dire consultables par toute personne malintentionnée.

• Ville de Paris : 5 704 mots de passe recensés.
• Académie de Nantes : plus de 1 000 mots de passe compromis.

NordPass précise que la majorité des mots de passe exposés provient d’employés d’institutions régionales, mais que les administrations nationales, les parlements et d’autres organisations restent aussi vulnérables.

Motifs : mots de passe recyclés et fuites externes

Les chercheurs ont d’abord compté tous les mots de passe, y compris les doublons. Après suppression des répétitions, ils aboutissent à 434 mots de passe uniques. Cela montre que certains agents réutilisent le même mot de passe sur plusieurs comptes ou partagent des identifiants, une pratique qui affaiblit fortement la sécurité.

Comment les identifiants sont exfiltrés

Karolis Arbačiauskas, chef de produit chez NordPass, met en avant le rôle des logiciels malveillants et des sites compromis. Selon lui, « une seule infection par un logiciel malveillant sur l’appareil personnel d’un employé ou la compromission d’un site web tiers populaire peut exposer des dizaines de comptes ». Un infostealer installé sur un smartphone professionnel ou personnel peut ainsi transférer des identifiants sur des marchés du dark web.

Les chercheurs indiquent avoir également « trouvé des centaines de milliers d’adresses e-mail accompagnées d’autres données exposées telles que les noms, prénoms, numéros de téléphone, informations de remplissage automatique et cookies ». Dans de nombreux cas, les identifiants ont été collectés parce que des fonctionnaires ont utilisé leur adresse e‑mail professionnelle pour s’inscrire sur des services externes qui ont fuité.

Un problème d’habitudes, pas d’un échec global de l’État

NordPass souligne que ces fuites résultent majoritairement de comportements individuels (réutilisation de mots de passe, usage d’adresses professionnelles sur des sites tiers moins sécurisés), et non d’une défaillance généralisée des systèmes de l’État.

Un risque systémique pour les institutions publiques

Malgré tout, l’ampleur des données mises en circulation sur le dark web représente un risque pour les administrations. Les pirates « pourraient potentiellement accéder aux comptes de messagerie et à d’autres informations sensibles de ces fonctionnaires », souligne une responsable de NordPass.

La plupart des cyberattaques commencent par la compromission d’un identifiant et d’un mot de passe. Un compte professionnel détourné peut servir de point d’entrée pour pénétrer plus largement l’infrastructure d’un organisme — comme l’illustre le piratage de France Travail, où des comptes compromis de conseillers de Cap Emploi ont été utilisés entre février et mars 2024 pour voler des données.

Recommandations succinctes

• Éviter la réutilisation des mots de passe entre comptes professionnels et personnels.
• Activer l’authentification à deux facteurs lorsque c’est possible.
• Sensibiliser aux risques liés aux appareils personnels et aux sites tiers.
• Surveiller les fuites de données et réinitialiser les identifiants compromis.

Ces mesures contribuent à limiter la dissémination d’identifiants et à réduire le risque d’atteintes plus larges aux systèmes des administrations publiques.