Les dessous du cyber-espionnage de Bercy

| 17 mars 2011

La cyberattaque qui a visé le Trésor est emblématique d’une nouvelle cybercriminalité à but politique. Comment s’est déroulée l’attaque, comment elle a été déjouée, ce que peut faire la France pour se protèger… Le point sur l’affaire.

C’est une affaire inquiétante pour la sécurité de l’Etat. L’attaque informatique visant les systèmes d’information du ministère de l’Economie, révélée par Paris Match, est la plus grave ayant jamais visé l’administration en France. Elle ciblait plus particulièrement la direction générale du Trésor et les informations confidentielles en lien avec le G20. Hasard du calendrier, on apprend lundi que des pirates chinois ont accédé en juin 2010 à des dossiers militaires confidentiels sud-coréens concernant l’achat d’avions espions aux Etats-Unis, en s’introduisant dans des ordinateurs du ministère de la Défense sud-coréen. Au passage, la Corée du Sud a ainsi été la cible de plus de 21 000 tentatives d’attaques informatiques en 2010 ! Et début 2011, c’est le ministre des Finances canadien qui a fait l’objet d’intrusions. Faut-il s’inquiéter d’une recrudescence de ce type d’espionnage ? L’Etat met-il en oeuvre les moyens nécessaires pour se protéger ?

Comment s’est déroulée l’attaque ?

« La première alerte nous est parvenue début janvier », explique à l’AFP Patrick Pailloux, directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi). « Nous avons décelé des mouvements bizarres dans la messagerie de Bercy et c’est là que nous avons commencé à tirer les fils de la bobine. Ils sont parvenus franchir les barrières de sécurité et à pénétrer dans la messagerie des services centraux de Bercy. Ils émettaient des messages à la place des utilisateurs. Il s’agissait de mails piégés par des chevaux de Troie, un mode d’infection très courant en informatique qui permet de prendre le contrôle d’un ordinateur à l’insu de son utilisateur. Mais, dans le cas présent, il s’agissait d’attaques ciblées utilisant des virus dédiés, conçus à cette fin et indétectables par la plupart des anti-virus. » En tout, les pirates ont pris le contrôle de 150 ordinateurs (sur les 170 000 qui sont à Bercy) pendant plusieurs semaines, de celui de la secrétaire à celui des « plus hautes autorités », a indiqué le directeur de l’Anssi. Les attaques ont également visé l’Elysée et Matignon, qui n’ont pas été « infectés ».

En tout état de cause, ces attaques sont l’oeuvre de professionnels « qui ont agi avec des moyens importants nécessitant préparation et méthode », poursuit-il. On est sur un niveau de sophistication élevé, avec une expertise certaine », confirme à l’AFP Thierry Karsenti, du fournisseur de solutions de sécurité Check Point. La méthode est la suivante : « Il faut forger un message pour faire en sorte que le destinataire ouvre la pièce jointe: l’email doit être crédible, venir d’une personne qu’il connaît et comporter si possible des détails frais, par exemple si la personne a participé à un salon ou une réunion », explique Laurent Heslault, directeur des technologies de sécurité chez Symantec. Une fois que la pièce jointe est ouverte, le logiciel malveillant s’installe sur la machine et permet alors aux pirates de prendre le contrôle à distance de l’ordinateur : les logiciels implantés peuvent permettre d’enregistrer tous les textes tapés sur le clavier, d’activer les micros de l’ordinateur pour enregistrer ce qu’il se passe dans la pièce, ou encore de « lancer des recherches à partir du mot ‘G20′ », souligne François Paget, expert chez McAfee.

Officiellement, la source des attaques demeure inconnue, bien qu’une partie des informations ait été redirigée vers des sites chinois. En effet, il est extrêmement difficile de remonter jusqu’aux pirates, comme l’explique François Paget : « un cybercriminel français va pirater une machine en Chine, depuis laquelle il va pirater un ordinateur allemand, pour au final attaquer un système en France. La source de l’attaque est très rarement l’ordinateur de l’espion lui-même. »

Comment l’attaque a-t-elle été déjouée ?

En fait, ce ne sont pas les services informatiques qui ont détecté l’attaque mais des hauts fonctionnaires du Trésor qui ont remarqué que des gens avaient reçu un mail de leur part alors qu’ils ne l’avaient pas envoyé. A ce moment là, l’attaque avait déjà commencé depuis plusieurs semaines. Ensuite, des mesures ont été prises pour faire stopper l’attaque et renforcer la sécurité grâce à des systèmes de détection supplémentaires. 30 à 40 personnes de l’Anssi ont été mobilisées en permanence. Malgré tout, le temps de comprendre comment fonctionnait l’attaque, le patch n’a été mis au point que le week-end dernier, au cours duquel Bercy a débranché 10.000 ordinateurs pour effectuer la maintenance.

Ce n’est pas le point de vue de Bernard Carayon, le député UMP qui tire plus vite que son ombre sur ces sujets (affaire Renault, avions ravitailleurs…). « Cette affaire extrêmement grave souligne la vulnérabilité des systèmes d’information publics », affirme, dans un communiqué, l’auteur de plusieurs rapports sur l’intelligence économique. Selon lui, « les moyens Français ne sont pas à la hauteur des enjeux : l’Anssi ne dispose que d’une trentaine d’ingénieurs pour exercer sa mission », alors que « certains États se sont dotés d’armées de hackers ». Il réclame la création d’un organisme permettant de développer la recherche dans ce domaine.

L’Anssi, autorité nationale de défense des systèmes d’information qui fonctionne avec un budget de 90 millions d’euros par an, a déjà vu ses pouvoirs renforcés en février dernier (mais cela n’aurait pas de rapport avec la cyberattaque contre Bercy, selon l’entourage de Christine Lagarde), raccourcissant notamment les circuits décisionnels en cas d’attaque majeure. Elle peut désormais prendre l’initiative, par exemple, de demander aux opérateurs télécoms de bloquer du trafic en provenance de machines qui relaient des attaques.

En cas d’urgence vitale (sur les systèmes d’information de l’Etat, des transports ou de l’énergie par exemple), le plan « Piranet » peut être déclenché par le Premier ministre. Sorte de Vigipirate de l’informatique, il « fixe l’organisation et les grands principes de réponse à une crise provoquée par des agressions informatiques de grande ampleur. » Jusqu’à présent il n’a jamais servi.

Dans le cas présent, le ministre de l’Intérieur Claude Guéant a précisé que les services de contre-espionnage de la Direction centrale du renseignement extérieur (DCRI) avaient été alertés mi-janvier et qu’ils lanceraient une enquête de police judiciaire sur cette agression.
Recrudescence de cyberattaques à but politique

Les administrations publiques sont la cible de plusieurs dizaines d' »attaques piégées » par mois. « Nous avons déjà alerté sur cette tendance fin 2010, indique Laurent Heslault de Symantec. Parallèlement à la cybercriminalité classique visant les particuliers et leur PC à la maison, nous avons cette nouvelle vague d’attaques aux motivations politiques ou idéologiques », avec le célèbre groupe des Anonymous. « Là, le but n’est pas de propager un logiciel malveillant partout. Les criminels recherchent des informations précises, venant de personnes précises. Cela veut dire qu’il y a préméditation, et peut-être même commande. »

Des attaques dont il est difficile de se protéger car elles sont faites « sur-mesure ». Chiffrer toutes les informations sensibles et mettre en place une politique de sécurité fait partie des solutions. Mais en la matière, le risque zéro n’existe pas.

Source : http://lexpansion.lexpress.fr/

Tags:

Category: Non classé

Commentaires terminés