Nous apprenions en début de semaine que les services du Ministère des Finances à Bercy avait été victime d’une large opération de piratage, concernant 150 PC infectés. Selon le ministère, cette attaque, provenant visiblement de Chine, serait liée à l’organisation du G20 par la France, et ne visait qu’à récupérer des informations relatives à cet événement… mais comment en être sûr ?

Une chose est sûre, c’est un dossier dont ce serait sans doute passé le nouveau DSI de l’Etat, nommé la semaine dernière.

Après plusieurs événements de ce type dans le monde, et les fuites récentes sur Wikileaks, quelle politique de sécurité a été mise en place au niveau de l’Etat Français ? Quelles leçons tirer de cette attaque ? CIO Online interviewait cette semaine le Directeur Général de l’ANSSI, dont voici quelques morceaux choisis :

Le directeur général de l’Agence nationale de la sécurité des systèmes d’information, Patrick Pailloux , a décrit hier l’attaque d’espionnage informatique qui a ciblé 150 ordinateurs du ministère des Finances et expliqué les mesures mises en oeuvre. Il espère que cette communication va conduire à sensibiliser aussi les entreprises aux risques encourus, bien réels.

Ce sont des professionnels, déterminés et très organisés qui ont mené l’attaque d’espionnage informatique dont vient d’être victime le système d’information des ministères économique et financier. Patrick Pailloux, le directeur général de l’ANSSI, a été formel sur ce point. Les hackers ont « attaqué un très grand nombre de cibles au sein de Bercy, plus de 150 ordinateurs, persisté pendant un certain temps, et utilisé des infrastructures sur Internet pour anonymiser et exfiltrer leurs informations de façon assez sophistiquée. Nous ne sommes pas en face d’amateurs, c’est une véritable opération d’espionnage ». Dans l’administration, il n’y a pas eu jusqu’à présent d’attaques de cette ampleur.

Pas seulement un cheval de Troie

Interrogé par ailleurs sur les similitudes entre le mode opératoire de l’attaque et celui qui a récemment visé le SI du ministère des finances canadien (dont on a dit qu’elle provenait de Chine), Patrick Pailloux n’a pas souhaité faire de commentaires, tout en admettant les ressemblances. Les attaquants du SI de Bercy ont ciblé un certain nombre de personnes auxquelles ils ont adressé des messages, accompagnés d’une pièce jointe, en se faisant passer pour certains de leurs collaborateurs ou partenaires internationaux. Le document joint était en rapport avec les centres d’intérêt des personnes qui ont donc cliqué sur le fichier piégé. Un cheval de Troie s’est installé sur l’ordinateur dont il a pris le contrôle. « A partir de là, le pirate peut à distance faire ce qu’il veut ». Néanmoins, a précisé Patrick Pailloux, « il n’y avait pas seulement un cheval de Troie, c’était une attaque organisée avec plusieurs moyens techniques, divers, et qui ont évolué dans le temps ».

150 postes touchés sur 170 000

L’ANSSI a mené plusieurs opérations « en liens directs et étroits, à la fois avec les services de Bercy et avec les services de police », a expliqué ce lundi soir Patrick Pailloux. « C’est une opération de grande ampleur que nous avons mené sur l’ensemble de Bercy, ce qui représente 170 000 ordinateurs. Nous avons fait bien sûr des vérifications dans d’autres administrations qui étaient potentiellement concernées et sur lesquelles on voyait par ailleurs des tentatives d’attaques. » Au final, 150 ordinateurs étaient touchés. D’après ce qu’il a été observé, l’attaque n’a pas réussie ailleurs, notamment, cela n’a pas atteint à Bercy les dossiers personnels et fiscaux.

Ce week-end, pour sécuriser les contenus, une très importante reconfiguration de l’informatique du ministère des Finances a été conduite. « Nous avons complètement coupé Bercy d’Internet et un certain nombre de travaux ont été menés jusqu’à la reconnexion lundi matin. Cela a mobilisé 150 personnes ce week-end. »

Questionné sur le profil des personnes ciblées par l’attaque, le directeur de l’ANSSI a indiqué que, comme l’expérience l’avait montré dans les affaires d’intelligence économique, les gens étaient visés tous azimuts. « Parfois, une attaque sur une secrétaire peut être plus efficace que sur un patron ». Quant aux documents volés, ils vont de l’information banale au document sensible. En revanche, « les documents classifiés ne sont pas concernés », a affirmé Patrick Pailloux.

Prendre conscience de la réalité de la menace

Alors, l’Etat français est-il suffisamment protégé ? « C’est ce que nous essayons de faire à l’ANSSI. C’est la raison d’être de la création de l’agence de déployer de nouveaux dispositifs de sécurité et de renforcer la protection. » Patrick Pailloux considère néanmoins qu’un effort considérable est consenti en matière de moyens financiers. « Cette année, nous allons recruter, turnover compris, probablement autour de 70 personnes.  Il y a 40 créations de postes au sein de mon agence. Pour les avoir vues à l’oeuvre, je peux vous dire que les équipes de mon agence sont à un niveau exceptionnel. » Même si les moyens ne sont jamais suffisants, on ne pourrait pas aller beaucoup plus vite, estime le directeur. En 2012, le budget annuel de l’ANSSI devrait atteindre 90 millions d’euros (salaires compris).

Mais en dehors de l’administration, ce qui est arrivé à l’Etat pourrait aussi susciter une prise de conscience du côté des entreprises. « C’est une des raisons pour lesquelles nous avons voulu communiquer, a affirmé Patrick Pailloux. Certaines entreprises sont souvent très peu conscientes du niveau de risque qu’elles prennent. C’est pourquoi nous souhaitons dire que ce sont des sujets dont il faut parler parce qu’il s’agit d’une menace qui est totalement réelle. Nous espérons ardemment que cela va participer à la sensibilisation. »

source : http://www.cio-online.com/actualites/lire-bercy-pirate-les-lecons-a-tirer-3493.html