Suite à la cyber-attaque menée auprès des systèmes d’information du ministère de «Bercy » rendue publique aujourd’hui, voici quelques remarques de Jean-Philippe Bichard / Analyste Kaspersky France.

A quel niveau se situe cette cyber-attaques ? Quelles cibles réelles étaient visées (données stratégiques de quel niveau : confidentiel ; secret Défense…) avec quel mobile : cyber-chantage ; vol d’infos, opération d’intelligence économique « offensive » … ?

Il s’agit d’une cyber-attaque  visiblement ciblée, sur mesure, via une cheval de Troie « inédit » difficile à repérer qui ne fait pas partie des virus basiques, connus, référencés, et qui n'a donc pas été identifié. Ce type de malware rappelle étrangement le ver Stuxnet dont la mission consistait à pénétrer le système d’information de l’usine d’enrichissement d’uranium de Nattanz, en Iran. Stuxnet, une fois dans la « place » aurait modifié des codes permettant l’exécution d’un traitement très précis : le code exécutable des commandes des centrifugeuses afin de changer leur vitesse de rotation et els détruire.  On comprend qu’avec ce genre de malware, rien n’est laissé au hasard. D’autant que le professeur iranien Majid Shahriari, chargé de lutter contre Stuxnet (entre autres) a été assassiné en novembre 2010.    

Imaginons un seul instant que ce type de malware pénètre un autre ministère tout aussi stratégique, celui de la Défense par exemple.  

Ces interrogations posent le problème de la sécurité « haute » des sites « stratégiques » face à cette nouvelle génération de malware qui entrent dans une nouvelle catégorie de cyber-attaques nommées APT (Advanced Persistant Threat).  Bercy a-t-il été victime de ce type d’attaques ?

Tout comme Stuxnet, le cheval de Troie de Bercy a peut être utilisé les mêmes moyens, à savoir :

-       Des signatures numériques spécifiques pour « tromper » les contrôles qui autorisent les applications (programmes spécifiques) à entrer dans un système et à s’exécuter.

-       L’exploitation de vulnérabilité peu connues ou non publiées et pas corrigées.

-       Des moyens de développement nécessitant des experts de haut niveau durant plusieurs mois.

Ces faits posent la question de savoir si oui ou non, les vulnérabilités utilisées par le malware de « Bercy » pouvaient êtres mises à jour avant la cyber-attaque ? Question importante : Si les mises à jour étaient possibles, la cyber-attaque n’aurait pas pu se produire. Dans le cas de Bercy, les hauts fonctionnaires prétendent et pourquoi ne pas les croire que depuis plus de trois mois leur messagerie semblait « bizarre ». Le patch (correctif pour corriger la vulnérabilité) n’aurait été appliqué que ce week-end. Pourquoi avoir attendu trois mois ?

Par ailleurs, le vers Stuxnet a utilisé des techniques novatrices : afin d’éviter les détections, se propager rapidement et se « mettre à jour » en allant chercher des données via un lien Internet qu’il était capable d’établir.

La discrétion reste le maître-mot pour un malware de ce type qui ne cherche pas le contact direct avec l’utilisateur (pour pratique un cyber-chantage par exemple). D’où un autre problème : d’autres ministères voire d’autres données ne sont-ils pas concernés sans que les experts de l’Etat le sachent ? C’est ce que dit Patrick Pailloux, directeur de l’ANSSI 'Agence nationale de la sécurité des services d'informations: «Ceux qui ont agi sont des professionnels déterminés et organisés. C’est la première attaque contre l’Etat français de cette ampleur et à cette échelle, indique à Paris-Match le patron de l'ANSSI, Patrick Pailloux. Les hackers ont essayé d'attaquer d'autres ministères. Il y a peut-être des choses que nous n'avons pas vues, mais, à ma connaissance, seul Bercy a été touché.»

Côté prévention, il faut savoir que la plupart des grands systèmes informatiques respectent des procédures et normes strictes pour renforcer leur sécurité. Par ailleurs, ils sont périodiquement « audités » via des procédures de tests d’intrusion par exemple.

La « réussite » du cheval de Troie de Bercy laisse penser à un malware proche de la génération de Stuxnet, auquel cas, n’ayant pas peur des mots, on s’approche  d’actes proches de « cyber-espionnage ».

On voit qu’avec cette nouvelle génération de malware, les infrastructures les plus critiques sont réellement en danger. Dernière interrogation : Bercy comme d’autres ministères a-t-il pris conscience de ces nouveaux dangers, alors que certaines lois comme Hadopi pointent l’ignorance des internautes  comme « un délit de négligence caractérisé » ?

Dernier point, les accusateurs pressés qui désignent la Chine ou tel autre Etat comme responsable devraient avant tout s’intéresser aux principes de piratage de machines « attaquantes » afin d’éviter que les vraies PC à l’origine de l’attaque puissent apparaître. Là aussi les attaques par « rebond » (de serveurs à serveurs) demeurent très efficaces pour égarer les enquêteurs.

Kaspersky France

Jean-Philippe Bichard / Analyste

Jean.philippe.bichard@kaspersky.fr