François Baroin, ministre du budget, a confirmé ce matin que les systèmes informatiques du ministère des finances étaient piratés depuis décembre dernier (une information révélée par le site Web de Paris-Match). Pour Laurent Heslault, directeur des technologies de sécurité chez Symantec, ces attaques dirigées contre l'administration française pourrait à tout le moins permettre à l'ANSSI (l'Agence Nationale de la Sécurité des Systèmes d'Information) d'obtenir davantage de moyens. « Ce genre d'attaques ciblées, dont les motivations ne sont pas financières mais idéologiques, se multiplient depuis un an. Qu'elles soient ainsi rendues publiques va contribuer à la prise de conscience des responsables politiques. Les dirigeants vont comprendre que, oui, les informations qui nous font vivre sont numérisées et qu'il faut prendre des mesures pour assurer leur protection ».
Le développement du cyber-espionnage
Depuis un an, une troisième vague d'attaques a déferlé, après celle des hackers opérant depuis leur chambre pour le simple plaisir de pénétrer dans des systèmes informatiques (terminée depuis 2005), puis celle des cybercriminels piratant des cartes bancaires à des fins crapuleuses. Les motivations sont souvent politiques, désormais. « Comment ne pas imaginer que des informations concernant un Etat ne puissent pas intéresser d'autres Etats. C'est la version moderne de l'espionnage », pointe le directeur des technologies de sécurité chez Symantec. Or, souligne-t-il, pour assurer la sécurité informatique, il faut non seulement des spécialistes, de la formation, de l'information et des bonnes pratiques, mais il faut aussi revoir les processus, par exemple ceux qui déterminent quelles sont les personnes habilités à accéder aux données. « Il y a des technologies à mettre en place qui ne vont pas supprimer tous les risques, mais au moins les limiter. »
Quatre étapes pour exfiltrer des données
Dans le genre d'attaques que vient de subir le ministère des finances, il y a généralement quatre étapes, explique Laurent Heslault : « La première, c'est l'incursion. On adresse à une personne identifiée un message porteur d'informations pertinentes, venant d'un expéditeur qu'elle connaît. Dans 100% des cas, ce message sera ouvert. En pièce jointe, il contient le logiciel malveillant, un maliciel, qui va s'installer de manière discrète sur l'ordinateur du destinataire. » La machine est dès lors contrôlée à distance. Commence alors la deuxième étape, celle de découverte de l'environnement informatique, poursuit Laurent Heslault. La troisième phase consiste à capturer l'information explicite avec la mise en place d'un système qui va enregistrer tout ce qui se passe. « Il peut même y avoir déclenchement du microphone de l'ordinateur pour enregistrer ce qui se passe dans la pièce, cela a déjà été observé », signale le directeur de la sécurité de Symantec. Avec la quatrième étape commence l'exfiltration des données qui sont envoyées vers un serveur qui peut être n'importe où. « Le fait que les informations partent vers certaines adresses IP [aboutissant vers tel ou tel pays] n'est pas significatif de leur destination réelle, insiste Laurent Heslault. Cela peut relever d'une opération d'intox. »
La stratégie de l'ANSSI va dans le bon sens
Il existe des solutions pour protéger les systèmes ou limiter l'impact des vols (comme le chiffrement des données, par exemple), mais il faut des moyens pour les mettre en place. Le piratage dont le ministère des finances français a été victime va peut-être permettre aux personnes qui sont chargées de la sécurité des grandes entreprises et aux ministres de recevoir des moyens supplémentaires.
La prise en compte des risques n'est pas évidente. L'ANSSI (l'Agence Nationale de la Sécurité des Systèmes d'Information) qui vient de se voir confier un rôle dans la défense de la France en cas de cyberguerre, a récemment publié sa stratégie préventive. Un document que Laurent Heslault  juge impeccable. « J'adhère à tout ce qui y est dit, mais il y manque des précisions sur le budget. J'espère que Monsieur Pailloux, directeur général de l'agence et ses équipes recevront de l'argent. » Laurent Heslault souhaite aussi la mise en place de partenariats public/privé. « Ce type de collaboration pourrait être renforcé. Tout ce qui va permettre de faire prendre conscience à nos dirigeants des enjeux va dans le bon sens. »
Les compétences sont lÃ
Selon lui, d'autres pays sont plus proactifs que la France en matière de sécurité. Il considère que les pays latins sont moins engagés que les pays nordiques dans ce domaine. « En France, on a parfois l'impression que la sécurité, c'est l'empêcheur de tourner en rond. Or, si vous n'êtes pas capables de mettre en place des systèmes de sécurité, vous n'irez pas très loin. Ce qui permet aux banques en ligne et aux sites de commerce électronique d'exister, c'est d'être protégé correctement. Tant mieux s'il y a maintenant une prise de conscience. Ce n'est pas trop tard. Les technologies existent et les gens sont suffisamment compétents pour les mettre en oeuvre. Ce n'est pas un problème de compétences. »