Les entreprises sous la menace de cyberguerre
La guerre électronique capable de déstabiliser un pays n'est plus un scénario de science-fiction. Les quelques simulations d'attaques montrent que les systèmes d'information de la France sont vulnérables.
01 Informatique
le 14/05/09 à 00h00
Les faits
Une récente intrusion de pirates informatiques sur le réseau du Pentagone prouve que les Etats-Unis sont vulnérables à une attaque par internet. Simultanément, une étude d'IDC et de Completel révèle que 720 000 nouveaux programmes de piratage sont apparus en 2008 et que ce chiffre pourrait tripler en 2009.
L'analyse
Les attaques sur les systèmes d'information occidentaux sont appelées à se multiplier puisqu'il n'est plus possible de mener une offensive militaire contre les Etats-Unis et leurs alliés. C'est la théorie que défend le capitaine de vaisseau Hugues Eudeline, chercheur à l'Ecole pratique des hautes études. Dans son rapport “ Terrorisme stratégique, une menace en mer ”, il indique que pour obtenir un effet dévastateur sur l'activité d'un ou plusieurs Etats, il suffit d'altérer le transport des personnes (surtout aérien), des marchandises (maritime), ou de l'information.
Ce type de scénarios débouche sur une dégradation de l'économie, laquelle mène à une déstabilisation du pouvoir politique, puis à une désorganisation générale sur laquelle l'ennemi n'a plus qu'à reconstruire. Attaques aériennes et offensives sur les dispositifs maritimes semblant de plus en plus complexes à mettre en œuvre, c'est la dernière option, celle des attaques informatiques, qui est la plus menaçante. Frédéric Charpentier, analyste en sécurité chez Xmco Partners estime que, dans moins de dix ans, les cyberattaques seront devenues habituelles et paralyseront presque à chaque fois des pans entiers d'une nation pendant un à deux jours.
Des attaquants difficiles à identifier
Corruption des données sur les serveurs des médias pour désinformer le public. Génération automatique de faux courriels d'alerte aux centres des impôts et aux établissements scolaires pour désorganiser les services publics. Coupure par déni de service de la connexion internet des entreprises privées dont l'Etat dépend pour son énergie ou ses transports. Telles sont les cyberattaques qui ont déjà été menées en Estonie, en Géorgie, au Kirghizistan, au Mexique ou encore aux Etats-Unis. Signe distinctif de la cyberguerre : on ignore qui attaque. Car non seulement les systèmes d'information des entreprises peuvent être la cible de sabotages, mais ils peuvent aussi servir de relais pour propager des virus. Dès lors, la cyberguerre concerne également les PME dont l'activité n'est pas liée à celle de l'Etat mais dont les ordinateurs peuvent être utilisés comme arsenal.
Le fond du problème, c'est que la fiabilité du système d'information des entreprises reste précaire, malgré ce qu'en disent les fournisseurs. Les systèmes de détection d'intrusion, trop complexes, sont souvent mal configurés et peuvent être trompés par des paquets mal formatés. Les listes blanches des pare-feu laissent transiter les données vers des sites non certifiés dès que ceux-ci sont spécifiés par leur adresse IP plutôt que par leur nom de domaine. Aucun antivirus n'est capable d'identifier le virus d'une attaque ciblée dont la signature est inédite, ou lorsque ce virus retarde de quelques fractions de seconde l'enchaînement de ses attaques. Stéphane Milani, consultant en sécurité chez HSC, dénonce enfin une convergence vers le tout-IP au détriment des anciens protocoles spécifiques : “ Depuis plus de dix ans, cette démarche a propagé les vulnérabilités communes aux installations les plus critiques. ” Se posent aussi les problèmes humains. La crise et sa cohorte de licenciements laisse dans la nature des individus qui possèdent des informations sensibles et qui, par vengeance ou par nécessité, sont susceptibles de les divulguer à mauvais escient. Olivier Caleff, en charge de la veille sur la sécurité et l'intelligence économique chez Devoteam, déplore que les entreprises ne s'entraînent pas aux cas de cyberattaque, “ alors qu'elles simulent régulièrement des alertes incendie ”.
Encore faut-il que les résultats de ces simulations soient probants. En France, la Direction centrale de la sécurité des systèmes d'information (DCSSI) conduit tous les quatre ans des tests d'attaque sur les systèmes d'information des ministères. Cédric Foll, RSSI à l'Education nationale, ne peut que le constater : “ Nous n'arrivons pas à déjouer toutes les attaques. Il y a toujours des oublis, des erreurs de configuration. ” Gérard Pesch, RSSI chez Thales, abonde dans ce sens : “ Nous simulons des attaques contre notre système d'information sur la base de scénarios prévisibles. Mais nous échouons systématiquement lorsqu'il s'agit de nous prémunir contre l'imprévisible. ”
Corinne Noël, RSSI à la Fnac, en appelle quant à elle au gouvernement a fin qu'il communique aux entreprises les méthodes de sécurité à appliquer : “ Nous sommes pris en étau entre les bonnes pratiques de surveillance américaines et les garde-fous de la Cnil. Il faudrait que nous sachions enfin clairement ce qu'il est légal de faire. ” Lors du récent troisième Forum international sur la cybercriminalité (FIC), l'Etat a promis qu'il planchait sur des directives nationales de sécurité à destination des entreprises. La ministre de l'Intérieur, Michelle Alliot-Marie, a décrit lors du FIC les nouvelles mesures liées à la cybersécurité qui seront incsrites dans le projet de loi Loppsi 2 (Loi d'orientation et de programmation pour la performance de la sécurité intérieure). Cette loi conditionnera les moyens humains et matériels de la police et de la gendarmerie.
Des prestataires de sécurité assermentés
Il est question de soumettre les sociétés liées à l'intelligence économique et leurs dirigeants à une procédure d'agrément. Ceci afin d'inciter les entreprises à confier leur sécurité à des prestataires assermentés, mieux préparés pour lutter contre les cyberattaques. S'y trouve également le blocage de l'accès, depuis et vers la France, des sites illégaux ou dangereux hébergés en toute impunité sur des serveurs étrangers. L'utilisation par le gouvernement d'un logiciel espion susceptible d'être installé sur les ordinateurs des citoyens, au nom de la lutte contre le terrorisme, suscite en revanche déjà de nombreux commentaires, les uns craignant pour leur vie privée, les autres se demandant si ce genre de dispositifs sera efficace contre des cyberguerriers. Frédéric Charpentier pense qu'il pourrait l'être car, paradoxalement, la collusion entre terroristes et hackers n'a pas encore eu lieu : “ Le mythe d'une armée qui embauche des pirates informatiques n'est toujours pas d'actualité. Je pense que les cyberattaques que nous avons jusqu'ici observées ne sont que le fait de hackers qui profitent de la couverture médiatique d'un conflit pour montrer de quoi ils sont capables. ” Dans son rapport “ L'Alliance du terrorisme et de la cybercriminalité ”, le contre-amiral Guy Poulain, responsable du développement défense chez IBM, est moins optimiste : “ Le terrorisme soutenu par la cybercriminalité est la cybermenace la plus probable. Nous devons engager tous les moyens dont nous disposons pour y faire face dès maintenant. ”
Les 4 ?pes d'une cyberguerre
1 - Les terroristes recrutent les cybercriminels dans les salons de discussion furtifs IRC.
2 - Les cybercriminels infectent de nombreux syst?s d'information avec des virus dormants qui leur donneront le contr?des serveurs vis?le moment voulu.
3 - Les virus prennent le contr?des serveurs pour lancer des attaques de d? de service sur les syst?s d'information de la cible ou encore pour divulguer ?a cible de fausses informations.
4 - L'?nomie du pays cible s'?oule et avec elle le pouvoir politique.
La cyberguerre a d? commenc?
Le gouvernement, pro-europ?, d?de de retirer une statue sovi?que de sa capitale. Dans les heures qui suivent, tous les sites gouvernementaux, ceux des m?as, tous les serveurs DNS des fournisseurs d'acc?et les syst?s d'information de toutes les banques sont rendus inop?nts par des attaques de d? de service. D?t collat?l : le num? des urgences, enti?ment informatis?ne r?nd plus. Les attaques dureront trois semaines.
Plusieurs sites des services publics en France, en Allemagne, au Canada, au Royaume-Uni et aux Etats-Unis sont p?tr?par des hackers qui en modifient le contenu. Cette offensive cesse d?que l'on d?uvre que les adresses IP des attaquants se situent toutes en Chine.
Un jour avant l'invasion des troupes russes, des cyberattaques corrompent les serveurs DNS des fournisseurs d'acc?georgiens pour (d?outer tous les trafics internet vers des serveurs russes. Simultan?nt, le contenu des sites gouvernementaux est modifi?t la photo du pr?dent Mikheil Saakashvili est remplac?par celle d'Adolf Hitler.
Alors que les Etats-Unis viennent de ren?cier le maintien d'une base militaire am?caine sur le sol de cette ancienne r?blique sovi?que, les routeurs des deux principaux fournisseurs d'acc?tombent sous l'assaut d'attaques par d? de service. L'acc?au web et aux courriels est interrompu pendant trois semaines.
Ce qu'ils en pensent
Le magistrat - Myriam Qu?ner (cour d'appel de Versailles) : “ il faut mettre en place une coop?tion internationale ”
“ Le risque de cyberattaque contre les entreprises fran?ses est r?. Le probl? est que nous ne faisons que commencer ?e comprendre et que nous n'avons pas encore adapt?os moyens de r?nse. Jusqu'??mment, les cours de justice se disaient incomp?ntes pour juger une attaque dont les cons?ences se sont faites sentir sur le sol fran?s, mais men?depuis l'?anger. R?mment, certains ont enfin pris le parti de consid?r notre juridiction concern?d?lors que l'attaque a lieu chez nous. Mais il faut encore clarifier tout cela. Se pose ensuite la question des moyens d'investigation ?'international. L'attribution au coup par coup des comp?nces territoriales fait perdre beaucoup de temps en proc?res. Il y a une vraie coop?tion internationale ?ettre en place. Le conseil de l'Europe d?rche des pays hors de l'Union pour qu'ils adh?nt ?otre convention sur la cybercriminalit?Mais il n'est pas simple de se mettre d'accord, ?ommencer avec les Etats-Unis o?s h?rgeurs appliquent des r?es beaucoup plus permissives que les n?s au nom de la libert?'expression. En France, la captation de donn? ?istance, comme le pr?it le projet de loi Loppsi 2, est partie pour un long d?t afin de pr?rver les libert?individuelles. ”
L'entreprise - Cedric Foll (minist? de l'Education nationale) : “ la situation ne pr?nte rien d'alarmant pour l'instant ”
“ Le minist? de l'Education nationale totalise 1,5 million de machines avec un niveau de surveillance tr?variable. Nos serveurs sont affili?au r?au informatique de la recherche, Renater, lequel d?cte tout mouvement frauduleux de donn?. En revanche, nous n'avons pas de politique de s?rit?ophistiqu?pour nos PC. Toute infection est consid?e comme un virus, nous n'avons aucune strat?e de d?nse pour le cas o?s machines seraient embrigad? dans un r?au botnet. Jusqu'?l y a deux ans, les attaques, qui relevaient surtout de l'amateurisme, consistaient en changement de la page de garde de certains de nos sites, les hackers voulant surtout ?e cit?dans les m?as. Au pire, nos sites ont souffert de l'activisme politique, comme l'apparition de drapeaux turcs au moment o? France a reconnu le g?cide arm?en. Mais depuis peu, nous avons d?uvert sur nos ordinateurs des programmes con? pour exp?er massivement des courriels de d?nformation. Et nous notons une recrudescence de p?tration frauduleuse dans nos syst?s, le plus souvent pour changer les notes des ?ves. C'est sans cons?ence sur leurs parcours scolaires, puisque l'avis de leurs professeurs fait foi. N?moins, cela nuit ind?ablement ?otre image de marque. ”
nos newsletters
Abonnez-vous à Micro Hebdo : 4,90 €/mois
Abonnez-vous à l'Ordinateur Individuel : 3 €/mois
Abonnez-vous à la version digitale
Abonnez-vous à 01Business et Technologies : 19 €/mois
