Ce sont des professionnels, déterminés et très organisés qui ont mené l'attaque d'espionnage informatique dont vient d'être victime le système d'information des ministères économique et financier. Patrick Pailloux, le directeur général de l'ANSSI, a été formel sur ce point lors du point presse que l'Agence nationale de la sécurité des systèmes d'information a tenu lundi 7 mars au soir, au secrétariat général de la Défense nationale, à Paris. Les hackers ont « attaqué un très grand nombre de cibles au sein de Bercy, plus de 150 ordinateurs, persisté pendant un certain temps, et utilisé des infrastructures sur Internet pour anonymiser et exfiltrer leurs informations de façon assez sophistiquée. Nous ne sommes pas en face d'amateurs, c'est une véritable opération d'espionnage ». Dans l'administration, il n'y a pas eu jusqu'à présent d'attaques de cette ampleur.

Les pirates s'intéressaient au G20 et globalement à la politique économique menée par la France à l'échelle internationale. « Nous avons beaucoup d'éléments techniques qui le confirment », a indiqué Patrick Pailloux. En revanche, il est absolument impossible de donner des informations sérieuses sur l'origine de l'intrusion et a fortiori sur ses commanditaires. Une enquête est en cours dont le Parquet de Paris a été saisi. Remonter jusqu'à la source de l'attaque « n'est pas gagné, mais l'expérience montre que cela arrive », a indiqué le directeur de l'ANSSI en rappelant que tout pirate pouvait faire des erreurs. En revanche, pour ne pas donner de clés aux attaquants, il n'a fourni aucune précision sur la façon dont travaillaient les enquêteurs des services spécialisés qui cherchent à remonter la chaîne d'ordinateurs utilisés par les pirates, signalant simplement que cela mobilisait « des ressources assez pointues, des experts de très haut niveau ».

Pas seulement un cheval de Troie

Interrogé par ailleurs sur les similitudes entre le mode opératoire de l'attaque et celui qui a récemment visé le SI du ministère des finances canadien (dont on a dit qu'elle provenait de Chine), Patrick Pailloux n'a pas souhaité faire de commentaires, tout en admettant les ressemblances. Les attaquants du SI de Bercy ont ciblé un certain nombre de personnes auxquelles ils ont adressé des messages, accompagnés d'une pièce jointe, en se faisant passer pour certains de leurs collaborateurs ou partenaires internationaux. Le document joint était en rapport avec les centres d'intérêt des personnes qui ont donc cliqué sur le fichier piégé. Un cheval de Troie s'est installé sur l'ordinateur dont il a pris le contrôle. « A partir de là, le pirate peut à distance faire ce qu'il veut ».  Néanmoins, a précisé Patrick Pailloux, « il n'y avait pas seulement un cheval de Troie, c'était une attaque organisée avec plusieurs moyens techniques, divers, et qui ont évolué dans le temps ».

Pour lancer ce type d'actions, il faut des moyens, certes, mais qui ne sont pas insurmontables, souligne Patrick Pailloux. « Il n'y a pas besoin d'être un Etat extraordinairement doté pour mener ce genre d'attaque ». D'ailleurs, tous les scénarios sont possibles, estime-t-il. Il peut s'agir de personnes manipulées ou dont on loue les services. « Des affaires d'espionnage, on en trouve beaucoup. Là, nous parlons d'une affaire qui a touché l'Etat de façon assez sérieuse, mais il y a parfois dans les administrations des attaques qui peuvent être quasiment individuelles pour espionner des individus. Et les motivations peuvent être extrêmement variées ».

150 postes touchés sur 170 000


L'ANSSI a mené plusieurs opérations « en liens directs et étroits, à la fois avec les services de Bercy et avec les services de police », a expliqué ce lundi soir Patrick Pailloux. La première a consisté à comprendre ce qui se passait techniquement. « Quand des pirates mènent ce genre d'attaques, il le font de façon extrêmement discrète. Il y a eu jusqu'à la semaine dernière un travail très important pour essayer de comprendre dans le détail quelle était cette attaque, comment elle marchait et quels outils techniques étaient utilisés, quels virus, quels vers, quels chevaux de Troie », a relaté le directeur. En parallèle, il a fallu cerner l'étendue de l'attaque. « C'est une opération de grande ampleur que nous avons mené sur l'ensemble de Bercy, ce qui représente 170 000 ordinateurs. Nous avons fait bien sûr des vérifications dans d'autres administrations qui étaient potentiellement concernées et sur lesquelles on voyait par ailleurs des tentatives d'attaques. » Au final, 150 ordinateurs étaient touchés. D'après ce qu'il a été observé, l'attaque n'a pas réussie ailleurs, notamment, cela n'a pas atteint à Bercy les dossiers personnels et fiscaux.

Ce week-end, pour sécuriser les contenus, une très importante reconfiguration de l'informatique du ministère des Finances a été conduite. « Nous avons complètement coupé Bercy d'Internet et un certain nombre de travaux ont été menés jusqu'à la reconnexion lundi matin. Cela a mobilisé 150 personnes ce week-end. »

Illustration : Patrick Pailloux, directeur général de l'ANSSI, lors du point presse du lundi 7 mars 2011 (crédit : MG).[[page]]
Questionné sur le profil des personnes ciblées par l'attaque, le directeur de l'ANSSI a indiqué que, comme l'expérience l'avait montré dans les affaires d'intelligence économique, les gens étaient visés tout azimuts. « Parfois, une attaque sur une secrétaire peut être plus efficace que sur un patron ». Quant aux documents volés, ils vont de l'information banale au document sensible. En revanche, « les documents classifiés ne sont pas concernés », a affirmé Patrick Pailloux. Il y a à Bercy un intranet interministériel nommé Isis, utilisé pour traiter les informations classifiées Défense et totalement isolé, sur lequel ont été placés des dispositifs de sécurité considérables. « Mais vous imaginez bien que l'on ne peut pas déployer ce genre de systèmes partout. Cela coûterait des fortunes. On le limite donc aux informations les plus sensibles ».

Prendre conscience de la réalité de la menace

Alors, l'Etat français est-il suffisamment protégé ? « C'est ce que nous essayons de faire à l'ANSSI. C'est la raison d'être de la création de l'agence de déployer de nouveaux dispositifs de sécurité et de renforcer la protection. » Patrick Pailloux considère néanmoins qu'un effort considérable est consenti en matière de moyens financiers. « Cette année, nous allons recruter, turnover compris, probablement autour de 70 personnes.  Il y a 40 créations de postes au sein de mon agence. Pour les avoir vues à l'oeuvre, je peux vous dire que les équipes de mon agence sont à un niveau exceptionnel. » Même si les moyens ne sont jamais suffisants, on ne pourrait pas aller beaucoup plus vite, estime le directeur. En 2012, le budget annuel de l'ANSSI devrait atteindre 90 millions d'euros (salaires compris).

Mais en dehors de l'administration, ce qui est arrivé à l'Etat pourrait aussi susciter une prise de conscience du côté des entreprises. « C'est une des raisons pour lesquelles nous avons voulu communiquer, a affirmé Patrick Pailloux. Certaines entreprises sont souvent très peu conscientes du niveau de risque qu'elles prennent. C'est pourquoi nous souhaitons dire que ce sont des sujets dont il faut parler parce qu'il s'agit d'une menace qui est totalement réelle. Nous espérons ardemment que cela va participer à la sensibilisation. »