Anssi : trop d’organisations ignorent les alertes qui leur sont adressées
Entendu à huis clos début juin par la Commission de la défense nationale et des forces armées, le patron de l’Anssi a déploré le manque de réactivité de ceux à qui l’agence a signalé qu’ils étaient affectés par une vulnérabilité critique.
Début mars, Microsoft a publié en urgence des correctifs pour quatre vulnérabilités affectant Exchange 2013, 2016 et 2019, la série dite ProxyLogon. Dans une note d’information, l’éditeur expliquait alors que celles-ci étaient actuellement exploitées par des attaquants afin de déployer des web shells sur les serveurs compromis : de quoi leur permettre d’accéder tranquillement à leurs données. Des espions en ont profité, mais également des groupes mafieux attaquant à coup de ransomware. Et pour ne rien gâcher, un mois plus tard, quatre nouvelles vulnérabilités critiques affectant Exchange étaient dévoilées.
Lors d’une audition à huis clos, début juin, par la Commission de la défense nationale et des forces armées de l’Assemblée nationale, Guillaume Poupard, directeur général de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), a indiqué que « quelques milliers de victimes potentielles » en France avaient été alertées, celles « que nous avons réussi à joindre ». Une douche froide : « 3 % d’entre elles seulement nous ont répondu ».
Pour autant, ce n’est qu’une demi-surprise. Nous avons suivi l’évolution de l’application des correctifs ou des remédiations sur un éventail de 107 adresses IP françaises de serveurs Exchange affectés par ProxyLogon au 11 mars. Début mai, 17 de ces adresses l’étaient encore. Au 25 juin, 10 de ces dernières étaient encore vulnérables. Autrement dit, après une première phase d’application relative rapide des correctifs et des mesures de remédiation requises, une frange encore significative de systèmes concernés reste affectée et risque de l’être durablement. Autant de victimes en devenir ou qui s’ignorent.
Cette situation apparaît d’autant plus grave que l’application des correctifs n’est pas suffisante. S’en contenter, c’est risquer de laisser une menace dormante dans son système d’information, surtout que l’exploitation des vulnérabilités a commencé en janvier.
Pour Guillaume Poupard, c’est bien simple, « il est inacceptable que des gens auxquels on dit : “vous êtes assis sur une bombe” ne traitent pas la question ». C’est là que le patron de l’Anssi déplore de ne pas disposer d’un pouvoir d’injonction : « notre homologue américain dispose d’un pouvoir d’injonction, récemment durci ; quand une faille du type de celle qui a affecté Microsoft Exchange est détectée, il écrit à toutes les agences fédérales en leur donnant 48 heures pour les corriger, après quoi la sanction tombe ».
Pour Guillaume Poupard, « une disposition légale donnant à l’ANSSI un pouvoir d’injonction serait une étape supplémentaire dans le développement de notre écosystème cyber, et motiverait davantage, encore, ceux qui bénéficient de nos services ». Même si pour lui, « tout cela doit rester évidemment bienveillant ».