« Internet n’est pas vraiment le monde des Bisounours »

Le ministère français des Finances a dû débrancher 10 000 ordinateurs ce week-end suite à une vaste attaque informatique. Le piratage viserait les dossiers ultra-sensibles de la présidence française du G20, selon les informations communiquées par Bercy. Laurent Heslault, directeur des technologies de sécurité chez Symantec, répond aux questions de L'Usine Nouvelle sur ce piratage en haut lieu.

L'Usine Nouvelle - Comment les hackers ont pu s’introduire dans le système informatique de Bercy ?
Laurent Heslault - Cette attaque est une attaque ciblée. Contrairement à la distribution de masse façon spam, les hackers ont produit un logiciel malveillant destiné à une ou plusieurs machines déterminées. Elle se déroule généralement  en quatre phases :

1 - L’incursion ou l’intrusion est la phase où l’on introduit le maliciel (logiciel/programme malveillant) dans un ordinateur choisi en amont. Dans la plupart des cas, il s’agit souvent d’un message envoyé à une  personne identifiée. Celle-ci reçoit un mail de quelqu’un qu’elle connait, concernant une problématique actuelle et pertinente. Par exemple, le sujet du mail fera allusion à la réunion du lendemain. Cette manipulation est de l’ingénierie sociale. La cible est mise en confiance et clique sur le lien. A l’instant même où le lien est actionné, la machine est contaminée.

2 - S’ensuit un temps de découverte. Grâce au maliciel, la machine est quasiment contrôlée à distance par le hacker. Celui-ci cartographie et analyse l’ordinateur.

3 - Puis vient l’étape de la capture. Les informations déjà présentes peuvent être collectées tout de suite. Mais, souvent la capture va plus loin, concernant toutes les manipulations qui seront faites sur l’ordinateur. Des logiciels permettent même d’activer le microphone des ordinateurs pour espionner les conversations qui se déroulent à proximité.

4 - Enfin, vient l’exfiltration. Les données sont exfiltrées vers un serveur qui a une localisation identifiable [ici la Chine selon les informations de Paris Match]. Mais le hacker peut héberger ces informations partout dans le monde et cela ne signifie pas que le pays d’accueil soit impliqué dans l’attaque.

Du coup, peut-on savoir qui est derrière le piratage des ordinateurs ?
Nous n’avons que très peu d’informations de la part de Bercy. Mais au vu des évolutions, on peut avoir une idée du profil de ceux qui sont à l’origine de l’opération.

Au départ le piratage était l’affaire d’adolescents américains  qui dans leur chambre essaient de pirater pour le plaisir, de contourner les barrières techniques. Depuis 2005, les pirates avaient déjà un profil financier avec l’apparition massive du fishing, du vol de mots de passe et de données bancaires. Depuis un an, une nouvelle vague déferle : celle des « hackitivistes » qui ont des motivations idéologiques ou politiques.

Les renseignements volés, selon la communication de Bercy, ne concernent pas les informations des citoyens mais le G20 en période de présidence française.  Le Canada a aussi été victime d’une attaque similaire il y a quelques semaines, alors que le pays était également à la tête de ce groupement de puissances économiques.

En résumé, si on pose la question à qui profite le crime, on peut émettre l’hypothèse d’ « hacktivistes »  ou de pirates qui ont volé ces informations dans le but de les revendre au plus offrant.

Bercy aujourd’hui, le marché du CO2 et Wall Street hier. Pouvons-nous encore nous protéger contre ces piratages ?
Cette affaire aura eu le mérite de faire prendre conscience à nos dirigeants de l’enjeu qu’il y a derrière la sécurisation des données. Aujourd’hui, toutes les informations sont numérisées et il faut des moyens pour les sécuriser. Souvent, les responsables de la sécurité sont pris pour des Cassandre mais il y a véritablement une augmentation exponentielle des cyber-attaques.

A l’échelle de Symantec seulement, il y avait 150 000 signatures [détections, Ndlr] pour des virus en 2006, trois millions en 2009 et entre huit et neuf millions en 2010. Et les virus, qui touchaient auparavant des millions de machines, sont de plus en plus ciblés. Un virus n'en contamine plus qu'une vingtaine actuellement. 

Internet n’est vraiment pas un monde des Bisounours. Il faut être proactif et se protéger. La technologie est importante pour faire face à ces attaques qui se réinventent très rapidement. Il faut revoir les processus de gestion de l’information confidentielle. Mais, surtout, il faut un changement des mentalités. Par exemple, des employés qui trouvent une clé USB par terre la brancheraient sur leur ordinateur pour identifier le propriétaire. S’il y a un maliciel, la machine est contaminée. Peu de gens le savent. Il faut faire un travail au niveau humain et avoir des salariés formés et informés.

Photo : Tor Hakon - Flickr - C.C.