Suite aux événements dramatiques de janvier qui ont endeuillé la France et à la vague de défigurations sans précédent qui ont affecté plus de 20 000 sites, il nous a paru difficile de ne pas essayer de comprendre quelle était la réalité de la menace, et sa perception par les RSSI. Enquête.
Au FIC, on ne parlait que de cela : le discours martial et emprunt de gravité de Bernard Cazeneuve, ministre de l’Intérieur, avec le soutien sans faille de son homologue allemand, Thomas de Maizière… Une dizaine de jours après les attentats de janvier, l’actualité était sur toutes les lèvres. De plus, une campagne massive de défigurations (cf. interview ci-contre), qui a affecté plus de 20 000 sites français (3 000 selon l’ANSSI), et un peu partout des messages de soutien aux djihadistes, notamment publiés sur Twitter – lesquels ne doivent pas faire oublier la vague énorme de protestation qui a eu lieu sur la Toile et a réuni plus de 4 millions de personnes dans la rue le 11 janvier – ont agité les esprits. Dans ce cadre, la déclaration au FIC de Guillaume Poupard, comparant les défigurations de sites à des « graffitis sur un mur », en a étonné plus d’un. Au moment où vient d’être promulgué le décret qui, suite à la loi du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme, permet le blocage et le déréférencement administratif de sites internet faisant l’apologie du terrorisme ou y provoquant, il est utile de revenir sur la réalité d’une menace qui concerne notre pays au premier chef.
Notons que les forces de renseignement ont été renforcées : un plan de recrutement de 430 experts (hackers, linguistes, interprètes) a été prévu sur la DGSI, forte de 3600 employés. Et le volet « cyber » du djihad ne peut pas être contesté : l’activité d’un groupe de cyberespions, même si ce ne sont pas à proprement parler des « cyberdjihadistes » comme « Desert Falcons », révélée dans le courant de février 2015 par Kaspersky, souligne la nervosité de la région sur ce thème. Notons que, pour l’éditeur russe, il s’agit là du « premier groupe arabe connu de cybermercenaires », maniant des APT (attaques persistantes avancées) pour soutirer de l’information, et ’attaquant surtout à des individus et entreprises au Moyen-Orient (Egypte, Palestine, Israël et Jordanie principalement). La campagne d’attaques serait en cours depuis au moins deux ans.
Si nous reprenons les propos de la plupart des personnes qui ont participé à la table-ronde virtuelle sur la réalité des menaces 2015 (lire pages précédentes), la menace terroriste est majoritairement citée comme un facteur de risque majeur pour 2015. C’est notamment le cas pour Jean-Ian Boutin, de l’ESET, qui estime que « dans la conjoncture actuelle, il ne serait pas surprenant de voir des attaques contre des entreprises situées dans des pays prenant part à la guerre contre l’EI, ou faisant des pressions diplomatiques contre l’Iran ou la Russie par exemple. Ces groupes vont parfois tenter de faire des méfaits en pratiquant des défigurations ou des dénis de service, sur le site web de l’entreprise. Il est aussi possible que d’autres actes, beaucoup plus dommageables, soient commis, tels que des vols de données sensibles. Ces données pourraient ensuite être rendues publiques, uniquement pour entacher la réputation de l’entreprise ».
Loïc Guezo, plus précis, argumente : « les évènements tragiques en France de ce début d’année ont incontestablement été suivis par une recrudescence d’opérations cyber liées au terrorisme ou à une sympathie politique affichée. On retiendra # OPFrance, qui a abouti aux défigurations de sites en .fr, plutôt sous un mode « cyber graffiti », mêmes si certaines opérations plus pointues ont été constatées de manière concomitante. Plus récemment, nous avons révélé l’opération « Arid Viper : contourner le Dôme de Fer », qui montre bien l’entrée du volet cyber dans toutes les confrontations, y compris terroristes ». L’attaque montre l’implication possible de la bande de Gaza sur l’attaque de sites israéliens gouvernementaux, de transports, d’éducation, et de transport.
De son côté, Michel Lanaspèze, directeur marketing de Sophos, fait remarquer : « il faut certainement se préparer à une menace cyberterroriste. C’est en particulier absolument indispensable pour les OIV, qui représentent une cible potentielle de premier ordre ». Rappelons que, probablement suite à l’attaque Stuxnet sur les centrifugeuses iraniennes, les Iraniens se sont attaqués en 2013 au système informatique de l’entreprise Aramco, l’entreprise saoudienne d’hydrocarbures.
Enfin, Christophe Jolly, directeur sécurité de Cisco France, modère de son côté : « les attaques que nous avons vues ces derniers mois sont restées d’un niveau technique faible. Ce qui laisse penser que les cyberterroristes, n’ont, à cette date, pas de grands moyens techniques, ni de grandes compétences ». La Kalachnikov tuant 17 personnes, s’attaquant à des dessinateurs de « Charlie Hebdo », et aux clients d’un hyper cacher se révèle à ce jour plus meurtrière que la souris d’un ordinateur… « Cependant, reprend Christophe Jolly, on note une augmentation des attaques qui se revendiquent de type « terroriste ». On l’a constaté ces dernières semaines avec les cyber-attaques djihadistes qui ont ciblé plus de 20 000 sites en France. Et pour demain, le potentiel des attaques de cyber-terrorisme est difficile à prévoir ». <:p>
Du côté des RSSI, le ton est plutôt à l’apaisement, même si la plupart restent très prudents. « Dans les jours qui ont suivi les attentats, nous avons subi trois attaques successives. Il n’y a eu au final aucune compromission sur le périmètre » rassure Michel Cazenave, le RSSI du ministère de Affaires étrangères et du Développement international.
« Rien de spécifique n’a été mis en place pour cela. En particulier le site diplomatie.gouv.fr a été attaqué en DDoS, mais a été rétabli rapidement grâce à notre passerelle de sécurité et aux équipes qui la mettent en œuvre » note encore Michel Cazenave.
De son côté, Eric Wiatrowski, RSSI d’Orange Business Services, se veut lui aussi rassurant. « En tant qu’opérateur pour les entreprises , nous avions le devoir d’être en alerte, et nous avons donné la consigne à tous nos centres de supervision d’être à l’affût. Nous étions prêts à passer en mode gestion de crise, mais nous n’avons pas eu à le faire. Les services que nous fournissons à nos clients n’ont été perturbés qu’à la marge (tentatives de DoS). Sincèrement, je n’ai pas été vraiment à cran, et je vous avoue que je suis beaucoup plus inquiet des actions d’intrusions furtives telles celles de la NSA que des actions de défiguration des cyberterroristes. Cela m’a embêté, mais, pour être franc, cela ne m’a pas empêché de dormir. Cela étant, il ne faut pas négliger que la menace est potentiellement dans le paysage, et que ces gens-là peuvent devenir capables de passer à la vitesse supérieure ».
Cet RSSI d’un OIV, qui tient à son anonymat et attrapé en vol au moment ou nous bouclons cette enquête, nous confie plusieurs éléments très intéressants : « une cellule de crise composée du directeur général, du directeur de la sûreté, de deux responsables métiers expérimentés et de moi-même a été réunie. C’est la première fois que cela m’arrive, et je l’ai vécu de manière intensive. Même si la menace restait essentiellement physique, et non cyber, le directeur général m’a demandé si cela valait la peine d’isoler complètement le système industriel du reste du système d’information de l’entreprise, et quel était l’impact, notamment business, si on déconnnectait le système d’information. Fort opportunément, je venais de mener une analyse d’impact, et cette cellule de crise a montré trois carences, sur lesquelles je travaille actuellement.
● D’une part, je n’avais pas de liste d’actions prioritaires à faire en cas d’attentats, avec une liste précise des impacts opérationnels.
● Ensuite, il fallait évaluer les conséquences business de la déconnexion des systèmes d’information.
●Enfin, je manquais de modes opératoires en cas d’alertes cyber ».
Et ce RSSI qui a tout de même vécu quelques heures stressantes fait remarquer : « je pense sincèrement qu’une menace cyberterroriste peut arriver et je m’y prépare. Les OIV doivent se préparer, la menace est sérieuse . Ce n’est pas de la science-fiction ».*
Enfin, Alain Bouillé, Président du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique), reste prudent. « Les sites de grandes entreprises ont tout de même été attaqués en janvier, même si la menace est très vite retombée. Les entreprises, même les plus importantes, n’ont pas toujours les moyens de détecter un piratage. En ce qui nous concerne, nous avons monté une cellule de crise au plus haut niveau, sous la responsabilité du comité de direction, pendant trois jours ». Avant de conclure « dans des cas comme cela, il est essentiel d’avoir fait l’inventaire de son patrimoine, et de savoir ce à quoi on s’expose ».
Jean-Marc Grémy, vice-président du Clusif, interrogé sur la réalité de la menace, se montre pour sa part très inquiet. « La France, de par sa position politique et son engagement militaire au Mali et au Moyen-Orient [rappelons que le porte-avions Charles de Gaulle a été envoyé mis janvier dans le Golfe arabo-persique pour épauler la coalition qui lutte contre l’Etat Islamique] est très présente dans la lutte contre le terrorisme.» Et, concernant les menaces en 2015, il s’interroge : « à quoi sert l’argent détourné par les opérations cyber-mafieuses, comme Carbanak ?
A financer des économies parallèles ?
A acheter des armes ? A financer le terrorisme ? La situation est préoccupante ». Sans compter que, comme le montre malheureusement le succès des opérations de « recrutement » de djihadistes français, notamment par un lavage de cerveau sur Internet, la guerre que mènent les terroristes passent aussi par les réseaux et par l’image : qu’on se souvienne de la macabre mise en scène des égorgements d’otages complaisamment mises en ligne sur Internet… Comme conclut Jean-Marc Grémy « les actions cyber peuvent aussi trouver une déclinaison dans le monde réel. La France est en première ligne […] ».