Deux cyber-attaques majeures, mais silencieuses, contre l’Elysée

Deux cyber-attaques majeures contre l’Elysée
Pierre Caron | zdnet.fr | mercredi 11 juillet 2012

Le Télégramme révèle aujourd’hui que le système d’informations de l’Elysée a été victime de deux attaques qualifiées de majeures. Il est évidemment beaucoup trop tôt pour commenter quoi que ce soit sur l’impact de ces attaques, leur motivation ou leur origine, quoique leur timing ait visiblement été particulièrement bien choisi : la deuxième de ces attaques se serait produite entre le second tour de l’élection présidentielle (6 mai) et la prise de fonction de François Hollande (15 mai). Le Télégramme qualifie ces attaques de "majeures" en raison du fait que l’investigation et le nettoyage du réseau auraient pris 3 jours.

En attendant davantage d’informations sur ces intrusions, il y a plusieurs points qui méritent un commentaire :

• En premier lieu, 3 jours pour investiguer et nettoyer un réseau, ça n’a rien d’exceptionnel, et c’est même plutôt rapide et efficace, compte tenu du fait qu’une attaque ciblée peut durablement s’enraciner dans un SI et nécessite en général une intervention complexe ne serait-ce que pour identifier quels systèmes ont été compromis et de quelle manière ils l’ont été ;
• De même, la détection de la deuxième attaque a visiblement été rapide, puisque les systèmes compromis auraient été nettoyés le week-end avant l’intronisation de François Hollande, c-a-d le week-end du 12-13 mai ;
• Enfin, cette information n’avait visiblement pas pour vocation à fuiter dans la presse, et aurait pu rester secrète ad vitam aeternam. De ce point de vue, le processus de notification et de partage rappelle un peu celui de Bercy, où l’intrusion a été initialement signalée à la presse par des salariés violant volontairement la consigne de confidentialité qui leur avait été donnée. Initiative dangereuse mais salutaire, puisque le secteur privé a ainsi pu bénéficier de ce retour d’expérience crucial. Une chose est désormais claire, ce type d’information "brûlante" finit souvent par devenir publique tôt ou tard ; et dès lors que c’est le cas, mieux vaut profiter de l’occasion pour sensibiliser le public à la sécurité et à faire preuve de transparence sur les modes opératoires employés afin d’en faire profiter également le secteur privé, qui rappelons-le, est soumis à des menaces de même nature et de même intensité que les réseaux gouvernementaux.

Enfin, et quoi qu’on en dise, quels que soient les moyens que l’on emploie pour y remédier ou le nombre de personnes que l’on recrute (référence au plan colossal de recrutement de l’ANSSI, qui prévoyait aux dernières nouvelles de recruter encore 130 experts sécurité avant fin 2013), l’attaquant aura toujours l’avantage. Il parviendra toujours à entrer, la complexité des SI et la pauvreté des moyens techniques actuels pour garantir leur intégrité et leur supervision restant son principal avantage. Les seules questions pertinentes sont : à quel prix l’attaquant parviendra à son but ? Et restera-t-il dans le système intrusé assez longtemps pour faire des dégâts ?

Cyber-attaques. L’appareil d’État visé à deux reprises
Jean Guisnel | letelegramme.com | mercredi 11 juillet 2012

Passées sous silence, deux cyber-attaques contre l’Élysée ont mis en lumière, ces derniers mois, les défauts de sécurité des services informatiques au plus haut sommet de l’État.

Ces derniers mois, la présidence de la République a subi deux cyber-attaques majeures qui n’ont pas été rendues publiques. La dernière s’est produite entre le second tour de l’élection présidentielle, le 6mai, et la prise de fonction de François Hollande, le 15mai. Elle était d’une ampleur telle que les « nettoyeurs » des services gouvernementaux spécialisés ont passé trois jours, tout le week-end précédant l’intronisation du nouveau Président, à reconstruire de fond en comble les systèmes d’information du palais de l’Élysée. Au personnel de la présidence, on a simplement expliqué qu’il s’agissait de « préparer la transition à une nouvelle équipe ».

Vulnérabilité des réseaux

Si l’information qui nous a été confirmée de plusieurs sources est restée secrète, c’est que le problème de la vulnérabilité des ordinateurs et des réseaux gouvernementaux - mais pas seulement - est une préoccupation grandissante de l’appareil d’État. Le sénateur Jean-Marie Bockel, qui rendra, la semaine prochaine, un rapport d’information très attendu sur le sujet, estime que le dispositif français de cyber-défense n’est pas adapté et que « la coordination sur le sujet entre les différents ministères est trop faible, quand la porosité des systèmes est trop forte ». Réservant ses conclusions pour ses collègues sénateurs de la commission des Affaires étrangères, de la Défense et des Forces armées auxquels il présentera son rapport le 18juillet, Jean-Marie Bockel a cependant expliqué au Télégramme que « l’amélioration de la sécurité des administrations et des entreprises rend nécessaires à la fois de nouvelles mesures de protection et des procédures améliorées ».

Des attaquants « venant d’Asie »...

La communication autour des attaques subies dernièrement par les services gouvernementaux (Bercy en mars2011 et l’Élysée cette année), mais aussi par la plus sensible des entreprises françaises, Areva, en octobre2011, est minimaliste. Cette discrétion s’explique par l’incapacité du gouvernement à révéler la gravité des attaques. Celle contre Bercy, par exemple, a été bien plus sérieuse qu’on a bien voulu le dire. Durant des mois, des pirates profitant de failles béantes dans les protections informatiques du ministère de l’Économie ont fait leurs courses à leur convenance dans les fichiers les plus confidentiels. La vertueuse description officielle des attaquants comme « venant d’Asie » dissimulait mal les attaquants chinois. La difficile enquête, qui a suivi les faits, a permis de découvrir que les pirates pourraient appartenir à des régiments spécialisés de l’armée chinoise, parfaitement identifiés et localisés. Les attaques sont préparées par des experts de haut vol, suivis de façon plus routinière par des petites mains qui attaquent toujours le même jour de la semaine, à la même heure, donnant l’impression de prendre leur mission offensive à l’heure d’ouverture des bureaux !

... Et aussi « d’alliés »

A posteriori, leur navigation dans les ordinateurs de l’administration des finances a été reconstituée : les pirates cherchaient les nouvelles données et les nouveaux documents, pour ensuite les copier et les sortir. Lorsque les premières ripostes ont été mises en place, les attaques ont été reprises par des experts de très haut niveau... Presqu’aussi bons que ceux qui ont attaqué l’Élysée. Car ceux-là étaient des attaquants de haut vol, procédant différemment et de manière encore plus savante. Cette fois-ci, les Français n’ont pas incriminé les Chinois, mais « des alliés », sans plus de précision.

L’Anssi supervisée par Matignon

Le dispositif français de protection contre les cyber-attaques n’est pas anodin. Il est confié, depuis trois ans, à l’Anssi (Agence nationale de la sécurité des systèmes d’information) que dirige Patrick Pailloux, un ancien des services techniques de la DGSE (Direction générale des services extérieurs). L’Anssi est directement supervisée par des conseillers du Premier ministre à l’hôtel de Matignon. L’Agence compte aujourd’hui un peu plus de 200 ingénieurs de très haut niveau dont le recrutement est rendu difficile par le fait que l’administration est en concurrence avec le secteur privé qui offre des salaires incomparables. L’Anssi ne saurait être suspectée de manquer de clairvoyance : elle avait organisé, durant trois jours en février2012, un important exercice baptisé « Piranet 2012 », qui avait « permis d’apprécier la capacité de l’État à prendre les mesures nécessaires dans une situation exigeant une forte réactivité ». Il y a de quoi... À en croire une source informée, l’attaquecontre Bercy, découverte en 2011, aurait coûté à la France 1% de son PIB ! Contactée par nos soins, l’Anssi n’a pas voulu répondre à nos questions.