Europol, l’agence de l’Union européenne chargée de l’application de la loi, a confirmé que son portail Europol Platform for Experts (EPE) avait été piraté et enquête actuellement sur l’incident après qu’un acteur menaçant a affirmé avoir volé des documents à usage officiel uniquement (FOUO) contenant des données classifiées.
EPE est une plate-forme en ligne que les experts en application de la loi utilisent pour « partager des connaissances, des meilleures pratiques et des données non personnelles sur la criminalité. »
« Europol est au courant de l’incident et évalue la situation. Les premières mesures ont déjà été prises. L’incident concerne un groupe d’utilisateurs fermé de la plate-forme Europol pour experts (EPE).
« Aucune information opérationnelle n’est traitée sur cette application EPE. Aucun système central d’Europol n’est affecté et, par conséquent, aucune donnée opérationnelle d’Europol n’a été compromise. »
Les dossiers personnels sur papier de Catherine De Bolle, directrice exécutive d’Europol, et d’autres hauts responsables de l’agence avaient également fuité avant septembre 2023, comme l’a rapporté Politico en mars.
« Le Sept. Le 6 septembre 2023, la Direction d’Europol a été informée que les dossiers papier personnels de plusieurs membres du personnel d’Europol avaient disparu », indique une note datée du 18 septembre et partagée sur un système de babillard interne.
« Compte tenu du rôle d’Europol en tant qu’autorité répressive, la disparition des dossiers personnels des membres du personnel constitue un incident grave de violation de la sécurité et des données à caractère personnel. »
Au moment de la publication, le site Web de l’EPE était hors ligne et un message indiquait que le service n’était pas disponible car il était en maintenance.
IntelBroker, l’acteur de la menace derrière les allégations de violation de données, décrit les fichiers comme étant FOUO et contenant des données classifiées.
L’auteur de la menace affirme que les données prétendument volées comprennent des informations sur les employés de l’alliance, le code source de FOUO, des PDF et des documents de reconnaissance et des directives.
Ils affirment également avoir eu accès à l’ESPACE EC3 (Plateforme sécurisée pour les Experts en cybercriminalité Accrédités), l’une des communautés du portail EPE, hébergeant des centaines de documents liés à la cybercriminalité et utilisés par plus de 6 000 experts en cybercriminalité autorisés du monde entier, notamment:
- Application de la loi par les autorités compétentes des États membres de l’UE et des pays tiers;
- Autorités judiciaires, établissements universitaires, entreprises privées, organisations non gouvernementales et internationales;
- Personnel d’Europol
IntelBroker affirme également avoir compromis la plate-forme SIRIUS utilisée par les autorités judiciaires et répressives de 47 pays, dont les États membres de l’UE, le Royaume-Uni, les pays ayant conclu un accord de coopération avec Eurojust et le Parquet européen (EPPO).
SIRIUS est utilisé pour accéder à des preuves électroniques transfrontalières dans le cadre d’enquêtes et de procédures pénales
Outre la fuite de captures d’écran de l’interface utilisateur en ligne de l’Epa, Intel Broker a également divulgué un petit échantillon d’une base de données SPATIALE EC3 contenant prétendument 9 128 enregistrements. L’échantillon contient ce qui ressemble aux informations personnelles des agents des forces de l’ordre et des experts en cybercriminalité ayant accès à la communauté SPATIALE EC3.
« TARIFICATION: Envoyez des offres. XMR UNIQUEMENT. Envoyez-moi un message sur les forums pour un point de contact. Une preuve de fonds est requise. Je ne vends qu’à des membres réputés », déclare l’acteur de la menace dans un message publié vendredi sur un forum de piratage.
Qui est IntelBroker?
Depuis décembre, cet acteur de la menace divulgue des données qu’il aurait volées à diverses agences gouvernementales, telles que l’ICE et l’USCIS, le ministère de la Défense et l’armée américaine.
Il n’est pas clair si ces incidents sont également liés à la prétendue fuite de données Five Eyes d’avril 2024, mais certaines des données déversées dans le message du forum ICE/USCIS chevauchent le message Five Eyes.
IntelBroker est devenu connu après avoir violé DC Health Link, qui gère les plans de soins de santé pour les membres de la Chambre des États-Unis, le personnel et les familles.
La violation a conduit à une audience du Congrès après que les données personnelles de 170 000 personnes touchées, y compris les membres et le personnel de la Chambre des représentants des États-Unis, ont été exposées.
D’autres incidents de cybersécurité liés à cet acteur de la menace sont les violations de Hewlett Packard Enterprise( HPE), Home Depot, le Deee! service d’épicerie et violation présumée de General Electric Aviation.
Plus tôt cette semaine, IntelBroker a également commencé à vendre des informations d’accès au réseau de la société de sécurité cloud Zscaler (c’est-à-dire « des journaux remplis d’informations d’identification, d’accès SMTP, d’accès d’authentification de pointeur PAuth, de clés d’accès SSL et de certificats SSL »).
Zscaler a confirmé plus tard avoir découvert un « environnement de test isolé » exposé en ligne, qui a été mis hors ligne pour une analyse médico-légale même si aucune entreprise, aucun client ou environnement de production n’a été affecté. Zscaler a également engagé une entreprise de réponse aux incidents pour mener une enquête indépendante.