Mairies : les pirates du groupe CUBA vident deux mairies françaises de leurs contenus

Les pirates informatiques du groupe CUBA, spécialisés dans le rançonnage d’entreprise, viennent de diffuser les informations volées à deux mairies françaises.

Les hackers malveillants du groupe CUBA refont parler d’eux. Ce groupe indiquait alors à sa création ne s’attaquer qu’à l’ennemi américain. A l’époque, ZATAZ vous révélait que nous avions surtout de jeunes pirates pas vraiment au fait de la géographie. Parmi les victimes, lors de la création de CUBA, une communauté indienne canadienne, la Squamish Nation.

Depuis, CUBA a changé de « fusil » d’épaule et s’attaque aux entreprises (privées et étatiques) aux quatre coins du globe. Le parlement du Monténégro bloqué, des milliers de documents exfiltrés mi août 2022 ou encore plusieurs sociétés basées à Dubaï, Riyadh, etc.

Pour la France, ces terroristes 2.0, se sont attaqués à plusieurs communes. Les dernières en date, les Villes de Chaville (octobre 2022) et de Cattenom (fin août). Le Service Veille ZATAZ a déjà pu repérer des centaines de documents internes mis en pâture par les criminels.

Pendant ce temps, à la CNIL

La présidente de la CNIL a clôturé 18 des 22 mises en demeure prononcées le 25 avril 2022 à l’encontre de communes devant désigner un délégué à la protection des données.

Le RGPD rend obligatoire la désignation d’un délégué à la protection des données dans certains cas, notamment lorsqu’un traitement de données personnelles est effectué par une autorité publique ou un organisme public (article 37 du RGPD). Cette obligation concerne donc toutes les collectivités territoriales, quelle que soit leur taille.

Le 25 avril 2022, la présidente de la CNIL a rendu publique des mises en demeure visant 22 communes qui n’avaient pas procédé à la désignation d’un délégué à la protection des données (DPO). Les communes disposaient d’un délai de 4 mois pour y remédier.

A l’échéance fixée, 18 communes se sont mises en conformité, à savoir par ordre alphabétique : Achères (78), Bastia (2B), Beaune (21), Bezons (95), Bruay-la-Buissière (62), Étampes (91), Gagny (93), Le Gosier (971), Le Robert (972), Montmorency (95), Montfermeil (93), Pierrefitte-sur-Seine (93), Saint-André (974), Saint-Benoît (974), Saint-Dizier (52), Sotteville-lès-Rouen (76), Villeneuve-Saint-Georges (94) et Vitry-sur-Seine (94). Deux communes sont en cours de désignation d’un DPO. En revanche, deux communes n’ont à ce jour ni répondu à la CNIL, ni désigné de DPO via le téléservice mis à leur disposition sur cnil.fr.

Au vu de ces éléments, la présidente a décidé de clore les mises en demeure prononcées à l’encontre des 18 communes mentionnées ci-dessus. Pour les communes ne s’étant pas conformées à la mise en demeure, la présidente de la CNIL pourra initier une procédure afin que soient prononcées, le cas échéant, d’autres mesures correctrices telles qu’une amende ou une injonction sous astreinte.