Allez au contenu, Allez à la navigation

La cyberdéfense : un enjeu mondial, une priorité nationale

18 juillet 2012 : La cyberdéfense : un enjeu mondial, une priorité nationale ( rapport d'information )
2. L'attaque informatique ayant visé le ministère de l'économie et des finances

Fin décembre 2010, alors que la France vient de prendre la présidence du G8 et du G20, les services du ministère de l'économie et des finances sont alertés par leurs correspondants étrangers de manifestations anormales dans leurs systèmes d'information.

En effet, dans la nuit du 30 au 31 décembre 2010, puis dans la nuit du 31 décembre au 1er janvier 2011, des courriels contenant une pièce jointe piégée semblant provenir d'interlocuteurs habituels de la direction du Trésor arrivent à destination de leurs correspondants étrangers du G20, qui découvrent ces pièces jointes et en alertent immédiatement leurs collègues français.

Le ministère de l'économie et des finances décide alors de saisir l'Agence nationale de la sécurité des systèmes d'information (ANSSI), qui envoie une trentaine de ses agents dans les locaux de Bercy.

Pendant près de deux mois environ, les équipes de l'ANSSI et de Bercy s'efforcent de pendre la mesure de la situation : Que se passe-t-il exactement ? Sommes-nous en présence d'une attaque informatique causée par un programme malveillant et de quel type ? Combien et quels sont les ordinateurs infectés ?

Cette première phase s'effectue dans la plus grande discrétion car, afin de prendre la mesure exacte de l'ampleur de l'attaque informatique, il est nécessaire de surveiller les mouvements de l'attaquant sans éveiller ses soupçons.

Au cours de cette première phase, il est apparu que le ministère de l'économie et des finances avait été victime d'une intrusion informatique menée à l'aide d'outils d'attaques informatiques, principalement des logiciels espions, introduits par le biais d'un « cheval de Troie ».

Les logiciels espions sont généralement déposés sur les postes des utilisateurs par le biais de « chevaux de Troie » prenant la forme de pièces jointes ou de pages web piégées, d'apparence inoffensives, souvent personnalisées pour contourner la vigilance de l'utilisateur. Une fois installés, ces programmes malveillants ouvrent une « porte dérobée » sur l'ordinateur infecté permettant aux attaquants de se connecter à distance sur les postes infectés pour y intercepter des frappes claviers et des communications réseaux et surtout procéder à des exfiltrations de documents sensibles vers des serveurs distants. La sophistication de certains de ces programmes permet de fractionner les exfiltrations, afin de les rendre moins détectables dans le flux normal de communication. Enfin, il est possible, à partir d'un ordinateur d'infecter d'autres ordinateurs, voire de prendre le contrôle de la totalité du système, en se dotant des prérogatives d'un « super administrateur » du réseau.

Si des logiciels espions peuvent être utilisés dans le cadre d'attaques d'ampleur réalisées à des fins de fraude bancaire, dans le cas de Bercy, les attaques découvertes semblent similaires à des attaques pour lesquelles les soupçons s'étaient portés sur la Chine. Comme cela est souvent le cas avec ce type d'attaques ciblées, les logiciels espions utilisés n'ont pas été détectés par les nombreux anti-virus du marché mais auraient pu l'être si des dispositifs de surveillance spécifiques avaient été déployés.

Par ailleurs, un certain nombre d'utilisateurs étaient dotés du statut d'« administrateur » de leurs postes de travail et pouvaient ainsi installer librement des applications. Les équipements de sécurité, notamment la passerelle d'accès à Internet, n'étaient pas correctement configurés et les « journaux d'évènements » (les « logs ») qu'ils génèrent n'étaient pas vérifiés. Le responsable informatique ne disposait d'aucune cartographie générale du réseau et il a fallu plusieurs semaines pour identifier toutes les passerelles vers l'Internet.

Lors de cette première phase d'analyse, environ 150 ordinateurs infectés ont été identifiés, principalement au sein de la direction générale du Trésor et de l'administration centrale, ce qui représente un pourcentage relativement faible au regard des 170 000 ordinateurs que compte le ministère. En revanche, aucune activité suspecte n'a été découverte sur les systèmes d'autres directions, comme la direction générale des finances publiques par exemple. Si aucune donnée à caractère personnel n'a été collectée, il y a de fortes probabilités pour que des documents relatifs notamment à la présidence française du G8 et du G20 aient été dérobés et exfiltrés.

Par ailleurs, si cette attaque a été découverte au début de l'année 2011 et que la direction générale du Trésor, direction du ministère en charge de la présidence française du G8 et du G20 était principalement visée, il semblerait, d'après plusieurs articles de presse, que l'origine de cette attaque informatique soit bien antérieure, certains journalistes ayant évoqué une durée de plusieurs semaines, voire plusieurs mois.

En tout état de cause, cette attaque a été qualifiée de « première attaque contre l'Etat français de cette ampleur et à cette échelle » par le directeur général de l'ANSSI, M. Patrick Pailloux.

Comme il l'a indiqué, sans toutefois citer nommément un pays, ces attaques sont l'oeuvre de professionnels « qui ont agi avec des moyens importants nécessitant préparation et méthode ».

Si la caractéristique de ces techniques d'intrusion est leur furtivité, qui les rend difficilement décelables grâce à des outils de dissimulation de leur activité (rootkits) et qu'il est toujours difficile d'identifier précisément la provenance de ces attaques, de forts soupçons se portent, toujours d'après la presse, vers la Chine9(*).

En effet, certains indices peuvent laisser penser que des agences officielles, ou du moins des officines chinoises, sont à l'origine de ces attaques. Le ministère des finances du Canada avait lui-aussi été victime d'une attaque informatique en 2010 dans le cadre de sa présidence du G20, et les autorités canadiennes avaient publiquement mis en cause la responsabilité de la Chine dans ces attaques.

Ce n'est d'ailleurs pas la première fois que la Chine est soupçonnée d'être à l'origine d'intrusions informatiques sur des sites gouvernementaux à des fins d'espionnage, comme en témoignent les attaques informatiques dont ont été victimes plusieurs pays occidentaux au cours des années 2006 et 2007, attaques qualifiées à l'époque par la presse d'« attaques chinoises », qui avaient notamment visé en France le ministère des affaires étrangères ou le Commissariat à l'énergie atomique.

A l'époque, les autorités françaises avaient indiqué que ces attaques avaient transité par la Chine, tout en restant prudentes sur leur origine exacte qui n'avait pas pu être établie. En effet, si les serveurs ayant contrôlé les attaques étaient localisés en Chine, on ne peut exclure qu'ils aient simplement servi de relais. La particularité de ces attaques est en effet de procéder par rebonds, en utilisant une succession d'adresses intermédiaires pour mieux en dissimuler l'origine.

Plus récemment, d'après un article du Washington Post, plus de 70 organisations, dont l'ONU, auraient été victimes d'espionnage informatique et, là encore, la presse a évoqué une probable responsabilité de la Chine.

Au total, la première phase du traitement de l'attaque informatique contre Bercy, qui a duré environ deux mois, a permis d'analyser les codes malveillants et de déterminer l'ensemble des mesures à mettre en oeuvre.

Lors d'une deuxième phase, menée lors du week-end des 5-6 mars 2011, afin de ne pas perturber le fonctionnement du ministère, et sous couvert d'une opération de maintenance informatique, l'ensemble des systèmes et réseaux informatiques du ministère ont été interrompus, dans le cadre d'une vaste opération de reconstruction et d'assainissement des systèmes, qui a concerné environ 12 000 postes de travail et qui s'est prolongée pendant environ six semaines. L'ensemble des ordinateurs infectés ont été remplacés et des mesures ont été mises en place afin d'assurer une meilleure protection des systèmes d'information.

Au cours d'un entretien particulièrement intéressant avec le Secrétaire général de Bercy, votre rapporteur a pu mieux mesurer l'importance du rôle de l'ANSSI et des efforts réalisés par le ministère de l'économie et des finances pour faire face aux conséquences de cette attaque informatique.

Depuis cette affaire et grâce à l'implication de son Secrétaire général, le ministère de l'économie et des finances a mis en oeuvre un plan très complet de sécurisation de son système d'information sur un périmètre beaucoup plus large que celui qui avait été visé par l'attaque.

Ce plan s'inspire très fortement des recommandations de l'ANSSI et sa mise en oeuvre fait l'objet d'un suivi attentif au niveau des directions. Vis-à-vis des agents, la principale difficulté a été de leur faire accepter les mesures de restriction relatives aux accès Internet. Par exemple, alors qu'il existait auparavant une liste « noire » de sites Internet dont la consultation était interdite, elle a été remplacée par une liste « blanche » contenant les seuls sites Internet dont l'accès est autorisé. Parallèlement, l'accès à Twitter a été supprimé.

Selon les dernières informations recueillies par votre rapporteur, parmi les 500 recommandations de l'ANSSI, les recommandations prioritaires de l'ANSSI ont été mises en oeuvre tandis que le déploiement des autres s'applique progressivement sur les 170 000 postes de travail.

Cependant, une grande vigilance reste de mise. Comme l'a souligné le Secrétaire général du ministère de l'économie et des finances, M. Dominique Lamiot lors d'un entretien avec votre rapporteur : « Fort classiquement, plus on s'éloigne dans le temps d'une crise, plus la tentation de desserrer les contraintes de sécurité s'accroît. C'est en cela qu'il est de notre responsabilité de trouver le bon équilibre entre sécurité et qualité de service aux utilisateurs ».

Enfin, votre rapporteur regrette que, malgré la présence au sein du ministère de l'économie et des finances de nombreux corps d'inspection, aucune enquête interne n'ait été diligentée à la suite de cette affaire pour déterminer d'éventuelles responsabilités et qu'aucune évaluation n'ait été faite du préjudice politique, diplomatique et financier de cette attaque.


* 9 Voir à cet égard l'article paru dans le magazine « Paris Match », du 7 mars 2011