Opinion : piratage à Bercy, incident majeur ou effet(s) d’aubaine ?
Sitôt l’affaire dévoilée par Paris-Match, la quasi-totalité de la presse nationale s’est emparée de l’événement du piratage du système d’information de Bercy, à grand renfort d’experts de l’industrie qui s’étaient très vite mobilisés pour avoir le privilège de faire entendre leur voix sur un sujet aussi chaud. Chacun reprenant à l’envi le message selon lequel il faudrait voir là une opération très sophistiquée. Quitte à oublier la banalité de son principal fondement et la petitesse du périmètre impacté. Mais aussi l’opportunité des révélations dans un pays où, traditionnellement, l’omerta règne en maître sur les questions de sécurité informatique.
Impossible de passer à côté de la nouvelle, en ce lundi 7 mars 2011 : des ordinateurs de Bercy - 150 ! - ont été piratés. Ouf! Voilà que la France rejoint le club très envié des Etats dont les systèmes d’information font l’objet d’attaques informatiques ciblées. Et pas n’importe lesquelles. Pour Thierry Karsenti, de Check Point, «on n’est sur un niveau de sophistication élevé». Jean-Philippe Bichard, de Kasperky, ose même un parallèle avec la référence du moment, en termes de sophistication, justement, Stuxnet : «le cheval de Troie de Bercy a peut-être utilisé les mêmes moyens.» Le parallèle est prudent, l’opinion réservée, mais la référence reste vendeuse.
Mais l’attaque est-elle si «sophistiquée» que cela ? Oui, selon Patrick Pailloux, de l’ANSSI, qui assure «qu’il s’agissait d’attaques ciblées utilisant des virus dédiés conçus à cette fin ». Mais peut-être pas tant que ça, à bien y regarder : les «virus» en question ne seraient «indétectables» que par «la plupart des anti-virus ». On peut donc penser que certains logiciels de protection du poste de travail auraient pu faire l’affaire. L’histoire ne donne pas encore le nom de ceux qui se sont fait piégés ni si leurs bases de signatures étaient bien à jour; ni si les postes de travail concernés étaient à jour des patchs des éditeurs... Cela dit, on peut s’interroger : il y a 170 000 ordinateurs à Bercy et donc une très large majorité d’entre eux n’ont pas été contaminés; l’Elysée et le Quai d'Orsay, qui auraient également été visés n’ont pas été «infectés». Pour autant, Patrick Pailloux veut voir là «l’oeuvre de professionnels qui ont agi avec des moyens importants nécessitant préparation et méthode ».
Le cheval de Troie, vieux comme une antiquité
Reste que le vecteur initial de contamination est d’une banalité affligeante : un e-mail avec une pièce jointe. Un bon vieux classique, la base de l’ingénierie sociale. Et d’ailleurs, faut-il véritablement que le message soit «crédible» pour qu’il soit ouvert ainsi que sa pièce jointe ? Si l’on répond oui à cette question, on (ré)conforte les «hauts fonctionnaires du Trésor qui ont remarqué que des gens avaient reçu un mail de leur part alors qu’ils ne l’avaient pas envoyé» - selon L’Expansion -, des fonctionnaires parmi lesquels figure peut-être le patient zéro de l’épidémie. Mais on peut être légitimement tenté de répondre non. Le phishing fait tous les jours des victimes - jusqu’à Louis-Serge Real del Sarte, spécialiste des réseaux sociaux sur Internet, à l’automne dernier. Des internautes propagent tous les jours des chaînes et autres hoax par simple générosité humaine. Les arnaques à la nigériane creusent les poches de nouveaux français chaque jour - de 400 000 euros pour un tourangeaux, en 2008 -; la Caisse des Dépôts et Consignations avait même pris la peine d’alerter les notaires en avril 2007. Bref, tous les spécialistes de la sécurité informatique vous le diront, la première faille d’un système d’information, c’est son utilisateur. Et celui-ci peut même être «avisé», comme l’avait montré une mésaventure en septembre 2009 : le responsable informatique d’un office notarial parisien ne comprenait pas que l’une des machines de son réseau pouvait avoir été infectée et pouvait envoyer des courriels à son insu, alors qu’il n’exploitait pas de serveur de messagerie sur son réseau...
Alors, c’est sûr, c’est forcément plus flatteur de parler de grande «sophistication» plutôt que d’absence de formation ou de sensibilisation à la menace informatique. Surtout dans un pays où le défaut de sécurisation de son accès à Internet est une infraction punie par une amende de cinquième classe. Accessoirement, et par pur mauvais esprit, osons d’ailleurs la question : Bercy risque-t-il d’être inquiété sur ce point ?
Alors, bien sûr, on arguera de la nature ciblée de l’opération. En oubliant peut-être que les principaux organigrammes de Bercy sont disponibles ici et que reconstituer des adresses e-mails n’est généralement pas bien sorcier - et que Google aide, généralement, dans cette tâche. Et n'y aurait-il pas eu des signes avant-coureurs, comme des messages destinés à des adresses inexistantes dans l'annuaire de Bercy mais présentant de fortes similarités avec des noms de personnes figurant dans son organigramme.
Une belle opération de communication
Et puis, si parler de grande «sophistication» présente un intérêt évident pour des fournisseurs de solutions de sécurité informatique qui n’ont - au moment où ils s’expriment - pas assez d’informations factuelles pour faire autre chose que spéculer (même pertinemment), l’intérêt existe aussi du côté de la victime. D’ailleurs, comment ne pas s’étonner de ce que cette «fuite» dans Paris Match ait été confirmée avec une promptitude record, dans un pays où le silence est d’habitude la règle en matière d’incidents de sécurité informatique ? Rappelons que comme pour mieux ancrer cette culture dans les esprits, la France a condamné Serge Humpich pour avoir eu la mauvais idée de révéler publiquement les faiblesses de protection des cartes bancaires, à la fin des années 90.
Comment donc ne pas s’étonner d’un tel empressement de la part des autorités françaises ? Peut-être parce que la coïncidence est trop belle. La diplomatie française a, depuis peu, un nouveau visage qui aura fort à faire pour redorer l’image de celle-ci à l’étranger. Or justement, quoi de mieux pour revaloriser cette image qu’une bonne campagne de communication à peu de frais - 400 papiers en langue anglaise référencés par Google News édition US, tout de même - montrant que les documents secrets de la France sur sa présidence du G20 ont de la valeur aux yeux de pirates malintentionnés ? Tellement de valeur qu’ils ont engagé des moyens importants et ont dû longuement préparer leur opération ? Et tant pis si l’on ne passe que très rapidement sur le fait que les machines vérolées n’avaient pas encore été nettoyées lors du premier grand rendez-vous du G20 sous la présidence française, fin février. Ou encore sur la qualité des informations effectivement retirées par les pirates. Et que dire encore de l’effet d’aubaine pour ANSSI dont les compétences viennent tout juste d’être étendues ?
Au final, les éléments véritablement intéressants de l’incident de sécurité de Bercy n’ont pas encore été dévoilés. Et la question est d’ailleurs de savoir si la France saura, là, jouer la transparence et au moins permettre un examen attentif et critique du code malveillant incriminé par la communauté de la sécurité, de manière ouverte. On l’imagine difficilement, mais il est permis d’espérer.