Ce sont des professionnels, déterminés et très organisés qui ont mené l'attaque d'espionnage informatique dont vient d'être victime le système d'information des ministères économique et financier. Patrick Pailloux, le directeur général de l'ANSSI, a été formel sur ce point lors du point presse que l'Agence nationale de la sécurité des systèmes d'information a tenu lundi 7 mars au soir, au secrétariat général de la Défense nationale, à Paris. Les hackers ont « attaqué un très grand nombre de cibles au sein de Bercy, plus de 150 ordinateurs, persisté pendant un certain temps, et utilisé des infrastructures sur Internet pour anonymiser et exfiltrer leurs informations de façon assez sophistiquée. Nous ne sommes pas en face d'amateurs, c'est une véritable opération d'espionnage ». Dans l'administration, il n'y a pas eu jusqu'à présent d'attaques de cette ampleur.

Les pirates s'intéressaient au G20 et globalement à la politique économique menée par la France à l'échelle internationale. « Nous avons beaucoup d'éléments techniques qui le confirment », a indiqué Patrick Pailloux. En revanche, il est absolument impossible de donner des informations sérieuses sur l'origine de l'intrusion et a fortiori sur ses commanditaires. Une enquête est en cours dont le Parquet de Paris a été saisi. Remonter jusqu'à la source de l'attaque « n'est pas gagné, mais l'expérience montre que cela arrive », a indiqué le directeur de l'ANSSI en rappelant que tout pirate pouvait faire des erreurs. En revanche, pour ne pas donner de clés aux attaquants, il n'a fourni aucune précision sur la façon dont travaillaient les enquêteurs des services spécialisés qui cherchent à remonter la chaîne d'ordinateurs utilisés par les pirates, signalant simplement que cela mobilisait « des ressources assez pointues, des experts de très haut niveau ».

Pas seulement un cheval de Troie

Interrogé par ailleurs sur les similitudes entre le mode opératoire de l'attaque et celui qui a récemment visé le SI du ministère des finances canadien (dont on a dit qu'elle provenait de Chine), Patrick Pailloux n'a pas souhaité faire de commentaires, tout en admettant les ressemblances. Les attaquants du SI de Bercy ont ciblé un certain nombre de personnes auxquelles ils ont adressé des messages, accompagnés d'une pièce jointe, en se faisant passer pour certains de leurs collaborateurs ou partenaires internationaux. Le document joint était en rapport avec les centres d'intérêt des personnes qui ont donc cliqué sur le fichier piégé. Un cheval de Troie s'est installé sur l'ordinateur dont il a pris le contrôle. « A partir de là, le pirate peut à distance faire ce qu'il veut ».  Néanmoins, a précisé Patrick Pailloux, « il n'y avait pas seulement un cheval de Troie, c'était une attaque organisée avec plusieurs moyens techniques, divers, et qui ont évolué dans le temps ».

Pour lancer ce type d'actions, il faut des moyens, certes, mais qui ne sont pas insurmontables, souligne Patrick Pailloux. « Il n'y a pas besoin d'être un Etat extraordinairement doté pour mener ce genre d'attaque ». D'ailleurs, tous les scénarios sont possibles, estime-t-il. Il peut s'agir de personnes manipulées ou dont on loue les services. « Des affaires d'espionnage, on en trouve beaucoup. Là, nous parlons d'une affaire qui a touché l'Etat de façon assez sérieuse, mais il y a parfois dans les administrations des attaques qui peuvent être quasiment individuelles pour espionner des individus. Et les motivations peuvent être extrêmement variées ».

150 postes touchés sur 170 000


L'ANSSI a mené plusieurs opérations « en liens directs et étroits, à la fois avec les services de Bercy et avec les services de police », a expliqué ce lundi soir Patrick Pailloux. La première a consisté à comprendre ce qui se passait techniquement. « Quand des pirates mènent ce genre d'attaques, il le font de façon extrêmement discrète. Il y a eu jusqu'à la semaine dernière un travail très important pour essayer de comprendre dans le détail quelle était cette attaque, comment elle marchait et quels outils techniques étaient utilisés, quels virus, quels vers, quels chevaux de Troie », a relaté le directeur. En parallèle, il a fallu cerner l'étendue de l'attaque. « C'est une opération de grande ampleur que nous avons mené sur l'ensemble de Bercy, ce qui représente 170 000 ordinateurs. Nous avons fait bien sûr des vérifications dans d'autres administrations qui étaient potentiellement concernées et sur lesquelles on voyait par ailleurs des tentatives d'attaques. » Au final, 150 ordinateurs étaient touchés. D'après ce qu'il a été observé, l'attaque n'a pas réussie ailleurs, notamment, cela n'a pas atteint à Bercy les dossiers personnels et fiscaux.

Ce week-end, pour sécuriser les contenus, une très importante reconfiguration de l'informatique du ministère des Finances a été conduite. « Nous avons complètement coupé Bercy d'Internet et un certain nombre de travaux ont été menés jusqu'à la reconnexion lundi matin. Cela a mobilisé 150 personnes ce week-end. »

Illustration : Patrick Pailloux, directeur général de l'ANSSI, lors du point presse du lundi 7 mars 2011 (crédit : MG).