N° 449

SÉNAT

SESSION EXTRAORDINAIRE DE 2007-2008

Annexe au procès-verbal de la séance du 8 juillet 2008

RAPPORT D'INFORMATION

FAIT

au nom de la commission des Affaires étrangères, de la défense et des forces armées (1) sur la cyberdéfense ,

Par M. Roger ROMANI,

Sénateur.

(1) Cette commission est composée de : M. Josselin de Rohan , président ; MM. Jean François-Poncet, Robert del Picchia, Jacques Blanc, Mme Monique Cerisier-ben Guiga, MM. Jean-Pierre Plancade, Philippe Nogrix, André Boyer, Robert Hue , vice-présidents ; MM. Jacques Peyrat, Jean-Guy Branger, Jean-Louis Carrère, André Rouvière, André Trillard , secrétaires ; MM. Bernard Barraux, Jean-Michel Baylet, Mme Maryse Bergé-Lavigne, MM. Pierre Biarnès, Didier Borotra, Didier Boulaud, Robert Bret, Mme Paulette Brisepierre, M. Christian Cambon, Mme Michelle Demessine, M. André Dulait, Mme Josette Durrieu, MM. Jean Faure, Jean-Pierre Fourcade, Mmes Joëlle Garriaud-Maylam, Gisèle Gautier, Nathalie Goulet, MM. Jean-Noël Guérini, Michel Guerry, Hubert Haenel, Joseph Kergueris, Robert Laufoaulu, Louis Le Pensec, Simon Loueckhote, Philippe Madrelle, Pierre Mauroy, Louis Mermaz, Mme Lucette Michaux-Chevry, MM. Charles Pasqua, Daniel Percheron, Xavier Pintat, Yves Pozzo di Borgo, Jean Puech, Jean-Pierre Raffarin, Yves Rispat, Roger Romani, Gérard Roujas, Mme Catherine Tasca, M. André Vantomme, Mme Dominique Voynet.

INTRODUCTION

Mesdames, Messieurs,

Au printemps 2007 , alors qu'une vive tension diplomatique l'oppose à la Russie, l'Estonie est victime d'une attaque massive contre les sites internet du gouvernement, des banques et des opérateurs téléphoniques . Leur fonctionnement est altéré durant plusieurs semaines, provoquant d'importantes perturbations dans un pays où les communications électroniques sont particulièrement utilisées dans la vie courante.

Quelques semaines plus tard, en septembre 2007 , les autorités françaises révèlent que des services de l'Etat ont fait l'objet d'attaques ciblées visant à s'introduire dans leurs systèmes d'information, vraisemblablement à des fins d'espionnage . Ces tentatives proviennent de Chine sans qu'il soit possible d'en établir précisément l'origine. Plusieurs autres pays - Etats-Unis, Royaume-Uni, Allemagne, Nouvelle-Zélande - font eux aussi état d'attaques analogues ayant touché leurs systèmes gouvernementaux sur la même période.

La vulnérabilité des réseaux informatiques n'est pas une préoccupation nouvelle dans des sociétés devenues très étroitement dépendantes du bon fonctionnement de leurs systèmes d'information. Les signes d'actions mettant directement en cause la sécurité de systèmes gouvernementaux ou stratégiques sont apparus aux Etats-Unis dès le début de la décennie, mais les incidents survenus en Europe l'an passé, largement médiatisés, ont matérialisé de manière très concrète une menace encore mal identifiée sur notre continent, particulièrement en France .

Les insuffisances de notre pays dans la prise en compte de cette menace avaient été soulignées lors du lancement du plan triennal de renforcement de la sécurité des systèmes d'information de l'Etat , en mars 2004, puis dans le rapport remis au Premier ministre en janvier 2006 par notre collègue député Pierre Lasbordes .

Votre commission des Affaires étrangères, de la défense et des forces armées a considéré que les enjeux liés la sécurité des systèmes d'information, du point de vue de la défense et de la sécurité nationale, ne pouvaient qu'aller en s'accentuant. Aussi a-t-elle décidé au mois de février dernier de préparer un rapport d'information sur un sujet dont le Livre blanc, rendu public le 17 juin dernier, souligne lui aussi le caractère stratégique.

Le présent rapport d'information n'a pas pour ambition de traiter l'ensemble de la problématique de la sécurité des systèmes d'information, qui concerne tout autant le simple particulier que les organismes d'Etat et couvre un champ allant de la simple malveillance ou de l'escroquerie, à des actions à visées politiques ou stratégiques.

Il s'intéresse essentiellement aux atteintes portées aux systèmes d'information susceptibles de mettre en cause la sécurité et la défense du pays et aux moyens de s'en protéger , que l'on a résumé pour simplifier sous le vocable de « cyberdéfense ».

S'appuyant sur les témoignages recueillis auprès des responsables des services de l'Etat ou d'entreprises particulièrement concernées, ce rapport vise à mieux comprendre la façon dont ces atteintes pourraient se manifester et les conséquences qu'elles pourraient entraîner, à évaluer les réponses qui sont mises en place par les pouvoirs publics et à dégager quelques axes sur lesquels une accentuation de l'effort paraît indispensable.

Votre rapporteur a tout d'abord souhaité illustrer, au travers des exemples récents, la nature et les formes que pourrait revêtir cette menace . La neutralisation de certains systèmes d'informations critiques pour la vie de la nation ou leur pénétration en vue d'en altérer ou détourner les données, figurent parmi les objectifs potentiels d'éventuels agresseurs. L'ouverture des réseaux vers l'extérieur les rend vulnérables aux entreprises de plus en plus élaborées de spécialistes qui perfectionnent de jour en jour leur savoir-faire.

Il a ensuite constaté que malgré des efforts réels, la France restait encore insuffisamment préparée et organisée face à la menace d'attaques informatiques. Le manque de moyens, notamment en comparaison avec nos voisins britanniques ou allemands, se conjugue à l'absence d'une autorité centrale véritablement susceptible d'impulser et de coordonner une politique d'ensemble de la sécurité des systèmes d'information.

Enfin, votre rapporteur détaille les orientations très positives retenues par le Livre blanc , qui élève la protection des systèmes d'information au rang de composante à part entière de notre politique de défense et de sécurité . Les instruments évoqués par le Livre blanc, notamment la future Agence de la sécurité des systèmes d'information, devront toutefois être impérativement dotés des moyens et de l'autorité permettant de mener une action plus résolue dans le domaine de la sécurité des systèmes d'information. Votre rapporteur formule plusieurs propositions en ce sens.

I. LA PROTECTION DES SYSTÈMES D'INFORMATION : UN VÉRITABLE ENJEU DE SÉCURITÉ NATIONALE

La vulnérabilité des réseaux informatiques n'est pas une préoccupation récente. C'est en 1988 que le premier « ver » informatique est apparu sur l'internet qui connaissait alors ses premiers développements. Depuis lors, particuliers, entreprises ou institutions se sont familiarisés avec le risque de propagation de « virus » altérant, parfois gravement, le fonctionnement des systèmes informatiques, ou encore la prolifération des courriers électroniques indésirables, les spams , dont certains visent à obtenir frauduleusement les codes d'accès ou les coordonnées bancaires de l'utilisateur.

La perception d'un risque pesant plus particulièrement sur la sécurité des Etats est principalement apparue aux Etats-Unis il y a une dizaine d'années, avec l'identification de tentatives de pénétration et d'attaques de saturation sur les systèmes d'agences gouvernementales, de centres de recherche ou d'entreprises sensibles.

Elle est aujourd'hui largement partagée dans les pays industrialisés. On y mesure désormais que le développement considérable des systèmes d'information, dont nos sociétés sont devenues extrêmement dépendantes, et leur interconnexion croissante, ont souvent été réalisés au détriment des exigences de sécurité qui constituent en la matière une contrainte incontestable.

Deux grandes séries de préoccupations émergent.

La première porte sur les services essentiels au fonctionnement du pays ou à sa défense , tributaires de systèmes informatiques qui pourraient être visés par des attaques tendant à les paralyser. La seconde concerne la protection des informations sensibles du point de vue politique, militaire ou économique, face à des techniques d'intrusion informatique de plus en plus sophistiquées.

Certes, dans un cas comme dans l'autre, un adversaire potentiel dispose d'une multitude de moyens pour parvenir à ses fins : destruction physique d'une infrastructure, utilisation de complicités internes ou modes classiques d'acquisition du renseignement. Toutefois, le recours à une attaque informatique présente de nombreux avantages, car il s'avère moins risqué, moins coûteux et beaucoup plus discret, l'identification de son auteur étant extrêmement difficile.

Les attaques massives de saturation dont ont été victimes de nombreux sites officiels en Estonie au printemps 2007, tout comme les attaques plus ciblées provenant de Chine et constatées, au cours de la même période, en France et dans plusieurs pays occidentaux, constituent une manifestation concrète de cette menace.

Aux yeux de votre rapporteur, la relative modestie des investissements nécessaires pour mener de telles attaques et la possibilité d'en masquer facilement l'origine rendent très probable leur développement dans les années à venir.

A. UNE MENACE AUX MANIFESTATIONS DE PLUS EN PLUS ÉVIDENTES

Avant de tenter de dresser une typologie des attaques informatiques, des méthodes utilisées et des cibles potentielles, il paraît nécessaire à votre rapporteur de détailler la façon dont elles se sont récemment manifestées en Europe.

1. Le cas de l'Estonie : une perturbation massive de la vie courante d'un pays

Les attaques informatiques ont constitué l'une des manifestations de la crise survenue en Estonie à la fin du mois d'avril 2007 , suite à la décision des autorités de Tallin de déplacer du centre de la ville vers un cimetière militaire le monument érigé en souvenir des combattants de l'armée soviétique qui avaient mis fin à l'occupation allemande en 1944. Cette décision fut vigoureusement contestée par le gouvernement russe, et en Estonie même, par la communauté russophone qui représente près de 30 % de la population.

Le 27 avril 2007, au lendemain du déplacement du monument, démarrait une vague d'attaques visant les sites gouvernementaux et publics, ceux des opérateurs de téléphonie mobile, des banques commerciales et des organes d'information .

Ces attaques par « déni de service » ( Denial of service - DOS ) visaient à saturer, par une multitude de demandes de connections simultanées, les sites concernés . Ceux-ci se trouvaient de ce fait inaccessibles.

Les perturbations se sont poursuivies sur près d'un mois et demi, mais elles ont culminé le 9 mai, journée au cours de laquelle 58 sites furent rendus indisponibles, certains d'entre eux ayant fait l'objet de plus de 5 millions de tentatives de connections par seconde.

La technique utilisée pour ces attaques est celle des « réseaux de robots » ( botnets ) constitués d'ordinateurs compromis à l'insu de leur propriétaire, et actionnés par l'auteur de l'attaque qui usurpe ainsi leur identité.

L'Estonie figure parmi les pays du monde dans lesquels l'usage de l'internet est le plus répandu, beaucoup de services n'étant accessibles qu'en ligne, notamment les services bancaires (95 % des opérations bancaires s'effectuent par communication électronique). Si ces attaques n'ont pas porté atteinte aux systèmes informatiques internes du gouvernement ni à ceux du secteur privé, et notamment des banques, elles ont perturbé de manière spectaculaire le fonctionnement de la vie courante du pays , en privant les usagers de l'accès à certains services en ligne essentiels.

Elles ont également surpris par leur soudaineté, leur ampleur et leur caractère parfaitement coordonné, ce qui conduit à exclure la seule action d'individus isolés agissant par motivation politique et utilisant des consignes trouvées sur certains sites internet. L'essentiel de l'attaque provenait de réseaux de robots ( botnets ) contrôlés par des organisations criminelles qui en monnayent l'utilisation.

La particularité de telles attaques est qu'il est impossible d'en identifier les auteurs . On ne peut en aucun cas se fier à la provenance apparente des envois, puisqu'ils émanent d'ordinateurs qui échappent au contrôle de leur utilisateur légitime. Le contexte politique et le fait qu'un grand nombre de communications provenaient de Russie ont conduit les autorités estoniennes à évoquer une action menée par les services de renseignement russes, ce que Moscou a immédiatement démenti. Pour l'heure, seul un jeune étudiant estonien russophone a été identifié comme ayant pris part aux attaques et condamné.

Le cas estonien illustre cependant l'utilisation qui peut être faite de l'attaque par déni de service à titre d'intimidation ou de représailles dans un contexte de tensions politiques.

2. Les « attaques chinoises » du printemps 2007 : une tentative de pénétration des systèmes d'information gouvernementaux

Les Etats-Unis avaient révélé à plusieurs reprises avoir fait l'objet de tentatives de pénétration de leurs systèmes d'information par des éléments étrangers. En 1998 et 1999, une vague d'attaque baptisée « Moonlight Maze » et supposée d'origine russe avait ciblé les systèmes gouvernementaux ainsi que ceux de centres de recherche et d'entreprises sensibles. Une autre offensive dénommée « Titan Rain », utilisant des réseaux chinois, a quant à elle démarré en 2001 et visé le Département de la défense durant plusieurs années, certaines tentatives d'intrusion ayant semble-t-il été couronnées de succès.

Les attaques dites « chinoises », dont plusieurs gouvernements occidentaux ont indiqué avoir été la cible au cours des années 2006 et 2007 , font référence à des tentatives menées dans plusieurs pays selon un mode opératoire identique : l'envoi à des hauts responsables ou des fonctionnaires, ainsi qu'à des dirigeants d'entreprises, de courriers électroniques apparemment légitimes , mais dont la pièce jointe, piégée, comportait un « cheval de Troie » , c'est-à-dire un programme informatique permettant de prendre le contrôle d'un ordinateur et de s'en servir à l'insu de son utilisateur.

En France , ces attaques ont visé le ministère des Affaires étrangères, et en particulier des diplomates en poste en ambassade. Elles se présentaient sous la forme de messages anodins, en relation avec l'actualité ou les centres d'intérêt des destinataires. La pièce jointe était susceptible d'installer sur l'ordinateur visé un programme forgé spécifiquement, et donc non détectable par les protections habituelles (pare-feux ; anti-virus), dans un but de récupération et de transfert des informations vers un serveur étranger.

Les autorités françaises ont indiqué que ces attaques avaient transité par la Chine , tout en restant prudentes sur leur origine exacte qui n'a pu être établie. En effet, si les serveurs ayant contrôlé les attaques étaient localisés en Chine, on ne peut exclure qu'ils aient simplement servi de relais. La particularité de ces attaques est en effet de procéder par rebonds, en utilisant une succession d'adresses intermédiaires pour mieux en dissimuler l'origine.

Il est à noter que lors de la présentation de son dernier bilan sur la maîtrise des risques publié au mois de juin, le Commissariat à l'énergie atomique (CEA) a donné des indications précises sur les attaques informatiques dont il a fait l'objet en 2007, en soulignant que les attaques aveugles et récurrentes marquaient le pas au profit d' attaques plus ponctuelles dans le temps (de quelques heures à quelques jours) et plus précises en termes de cibles visées . La diversité de ces infections met en défaut les systèmes de détection classiques qui travaillent sur la base d'attaques connues. Le CEA a indiqué que ces attaques provenaient fréquemment de Chine.

Dans le même temps, plusieurs autres pays ont indiqué avoir été victimes d'attaques de même type, impliquant elles aussi des serveurs chinois.

Aux Etats-Unis , des intrusions ont été détectées sur les systèmes d'information du département de la défense , et plus particulièrement sur les serveurs de messageries. Une partie du réseau informatique directement lié au secrétaire à la défense a dû être mise hors service durant plusieurs jours.

Des faits de même nature ont été signalés en Allemagne , où les services de renseignement auraient bloqué un important volume de données provenant des systèmes d'information gouvernementaux qui étaient en passe d'être transférées vers des serveurs localisés en Chine. Au Royaume-Uni , le Foreign office a été affecté, de même que des systèmes gouvernementaux en Australie, en Nouvelle-Zélande, au Canada, en Suisse, en Belgique ou aux Pays-Bas.

Il est difficile de ne pas effectuer un rapprochement entre toutes ces tentatives d'intrusion qui se sont déroulées sur la même période, ont visé des cibles de même nature et ont utilisé, selon les informations recueillies par votre rapporteur, une quinzaine de types de courriers électroniques piégés utilisant des codes malveillants spécialement mis au point. Ceux-ci ont paru suffisamment sophistiqués pour laisser penser qu'ils ne sont pas l'oeuvre d'individus isolés, mais de groupes organisés , voire de services de renseignement.

L'implication de pirates informatiques (« hackers ») tolérés et contrôlés par les autorités chinoises , voire de l'armée populaire de libération chinoise elle-même, a été immédiatement évoquée. Depuis plusieurs années, les agissements de ces groupes sont mis en cause par les autorités américaines, ainsi que par Taïwan, qui considère que ses organes gouvernementaux et ses grandes entreprises font l'objet d'un espionnage électronique incessant par la Chine continentale. Les autorités chinoises ont démenti tout lien avec ces évènements et indiqué être elles-mêmes confrontées aux agissements de pirates informatiques contre les systèmes gouvernementaux.

Qu'elles aient prioritairement visé à détourner des informations sensibles ou qu'elles aient surtout été effectuées pour tester la protection des systèmes informatiques visés, ces attaques démontrent néanmoins la banalisation de l'usage de techniques informatiques peu détectables comme arme de renseignement .