B. LA FRANCE N'EST PAS ÉPARGNÉE PAR CE FLÉAU
Le Livre blanc sur la défense et la sécurité nationale de 2008 avait mis l'accent sur le risque d'une attaque informatique de grande ampleur en France dans les quinze prochaines années, d'origine étatique ou non, laissant présager un potentiel très élevé d'atteintes à la vie courante, de paralysie de réseaux critiques pour la vie de la Nation, ou de déni de fonctionnement de certaines capacités militaires.
Aujourd'hui, on peut avoir le sentiment que le principal risque porte moins sur une attaque informatique massive visant à perturber les fonctions vitales du pays, que sur l'espionnage informatique , qui est un phénomène moins visible mais tout aussi inquiétant. En effet, avec l'espionnage informatique, notre pays, comme d'autres pays dans le monde, est menacé par un « pillage » systématique de son patrimoine diplomatique, culturel, scientifique et économique.
Comme cela a été confirmé à votre rapporteur par les représentants des organismes publics chargés de la sécurité des systèmes d'information, les administrations françaises, les entreprises ou les opérateurs font aujourd'hui l'objet de manière quotidienne de plusieurs millions de tentatives d'intrusion dans les systèmes d'information .
Si la plupart de ces attaques informatiques sont détectées et arrêtées avant de parvenir à pénétrer dans les systèmes, grâce aux mesures de protection mises en place, comme les anti-virus ou les pare-feux, il arrive que certaines d'entre-elles parviennent à contourner les mesures de protection et échappent à la vigilance des responsables de la sécurité informatique.
Ces dernières années, de nombreux organismes, publics ou privés, ont ainsi été victimes dans notre pays d'attaques informatiques, à l'image du ministère des affaires étrangères, du ministère de la défense ou encore du Commissariat à l'énergie atomique.
Comme le note le document préparatoire à l'actualisation du Livre blanc, « les attaques informatiques contre les systèmes d'information des Etats et des entreprises, et plus particulièrement de celles qui appartiennent à des secteurs d'activité stratégiques, se sont multipliées. Ces attaques portent atteinte aux données sensibles (technologiques, commerciales, scientifiques, etc.) de leurs cibles. Elles sont souvent de grande ampleur , résultant d'une longue préparation et d'un ciblage précis . Elles peuvent nécessiter, pour leur mise en oeuvre, des moyens dont seul un Etat ou une organisation importante et déterminée sont capables de disposer » .
Votre rapporteur a choisi d'illustrer les menaces pesant sur notre pays au travers de trois exemples d'attaques informatiques, de nature et aux objectifs très différents.
1. La perturbation de sites institutionnels : l'exemple du Sénat
Peu avant l'adoption par le Parlement français, le 31 janvier dernier, de la loi visant à réprimer la contestation des génocides reconnus par la loi, dont le génocide arménien 8 ( * ) , de nombreux sites institutionnels, à l'image du site Internet de l'Assemblée nationale ou les sites de plusieurs députés, ont été rendus inaccessibles à la suite d'attaques informatiques. Votre rapporteur a pensé utile de décrire l'attaque subie à cette occasion par la Haute assemblée.
Le dimanche 25 décembre, le service informatique du Sénat a, en effet, été alerté par plusieurs fonctionnaires qui s'étaient rendus compte que le site Internet de la Haute assemblée n'était plus accessible. Dès le lendemain matin, les informaticiens ont constaté que le Sénat avait été victime de ce que les spécialistes appellent une « attaque par déni de service ». Par des moyens techniques, et notamment grâce à une copie du site Internet du Sénat sur un autre serveur, d'une capacité de résistance supérieure, il a été possible de rendre le site Internet de la Haute assemblée à nouveau accessible dès le lundi 26 décembre après midi.
A l'image du cas de l'Estonie en 2007, ces « attaques par déni de service » ( Denial of service - DOS ) visent à saturer un ordinateur ou un système en réseau sur internet en dirigeant vers lui un volume considérable de requêtes. On parle également de déni de service distribué ( Distributed denial of service - DDOS ) pour des attaques fonctionnant sur le même principe, mais dont l'effet est démultiplié par l'utilisation d'ordinateurs compromis et détournés à l'insu de leurs propriétaires. La masse de requêtes qui parvient simultanément sur un même système dépassant ses capacités, celui-ci n'est plus en mesure de fonctionner normalement. La paralysie d'un système d'information par ce type d'attaques est relativement facile à obtenir lorsqu'il s'agit d'un service accessible au public sur le réseau internet, à l'image du site Internet du Sénat.
Dans le cas du Sénat, l'attaque informatique, assez rudimentaire, et ayant mobilisé un nombre relativement faible d'ordinateurs, a eu pour effet de saturer, par un nombre très élevé de requêtes, l'accès au site Internet de la Haute assemblée pendant plusieurs heures.
Comme on peut le voir sur le graphique ci-dessus, qui représente la bande passante du réseau Internet du Sénat, la saturation a brutalement commencé peu après 6 heures du matin le dimanche 25 décembre et s'est achevée le lundi 26 décembre après midi.
Même si ces attaques informatiques ont été ouvertement revendiquées par des groupes de « hackers » patriotiques turcs, à l'image des groupes « GrayHatz » et « Millikuvvetler » , et par d'autres « hackers » indépendants, il est très difficile d'identifier précisément l'auteur de ces attaques.
En effet, ces groupes ont recours à des « botnets », c'est-à-dire à des réseaux de machines compromises et utilisées à l'insu de leurs propriétaires.
Dans le cas du Sénat, la provenance des attaques informatiques ayant abouti à la saturation du site Internet était très diversifiée puisqu'elles provenaient d'ordinateurs situés partout dans le monde.
Si, depuis cette affaire, des mesures ont été prises au Sénat afin de renforcer la protection des systèmes, il n'en demeure pas moins que les attaques par déni de service visant un site Internet ouvert au public sont très difficiles à éviter et qu'il n'existe pas de parade absolue.
* 8 cette loi a été déclarée contraire à la Constitution par le Conseil constitutionnel dans sa décision du 28 février 2012