« C'est de la stupidité »
Paume sur le visage : C'est déjà assez grave quand les entreprises ne sauvegardent pas leurs données, mais c'est encore pire quand le gouvernement d'un pays ignore cette règle de base. Il a été révélé que l'Indonésie ne dispose d'aucune sauvegarde de données, ce qui est doublement problématique dans la mesure où le pays a récemment été victime d'une attaque de ransomware.
Le 20 juin, le Centre national temporaire de données indonésien (PDNS), géré par le ministère des Communications et des Technologies de l'information, a été compromis par une variante du malware LockBit 3.0 appelée Brain Cipher. Comme la plupart des ransomwares modernes, Brain Cipher exfiltre les données sensibles et les crypte, une technique également connue sous le nom de double extorsion.
Au moins 210 institutions ont été touchées et certains services du pays ont été gravement perturbés. Les cybercriminels, décrits comme un acteur non étatique, réclament 131 milliards de roupies (8 millions de dollars) pour la clé de décryptage. Le ministre de la Communication et de l'Informatique, Budi Arie Setiadi, a déclaré que le gouvernement n'avait pas l'intention de payer et que les autorités tentaient de décrypter les données elles-mêmes. Les services gouvernementaux devraient être entièrement rétablis d'ici août.
L'attaque par ransomware a également révélé que 98 % des données gouvernementales stockées dans l'un des deux centres de données compromis n'avaient pas été sauvegardées. En conséquence, le président indonésien Joko Widodo a ordonné un audit de tous les centres de données gouvernementaux.
Yusuf Ateh, qui dirige le Contrôleur du développement et des finances de l'Indonésie (BPKP), a déclaré (via Reuters) que l'audit couvrirait « la gouvernance et l'aspect financier ».
Le vice-président Ma'ruf Amin a expliqué que l'ampleur des dégâts était due à la centralisation des réseaux gouvernementaux. « Une fois le système centralisé, il s'est avéré qu'une fois piraté, tout le monde a été touché. Je ne pensais pas que le piratage informatique était aussi dévastateur par le passé. »
Hinsa Siburian, président de l'agence indonésienne de cybersécurité, a déclaré : « En général, nous considérons que le principal problème est la gouvernance et qu'il n'y a pas de sauvegarde. »
Budi a confirmé que le ministère disposait de capacités de sauvegarde dans les centres de données, mais que les agences gouvernementales n'avaient pas la possibilité d'utiliser ce service. Il a imputé la non-utilisation du service de sauvegarde aux contraintes budgétaires, ajoutant que cela deviendrait bientôt obligatoire.
L'absence de renforts et les explications données ont suscité la colère et des appels à la démission de Budi. « S'il n'y a pas de renforts, ce n'est pas un manque de gouvernance », a déclaré Meutya Hafid, le président de la commission chargée de superviser l'incident. « C'est stupide. »