Un groupe de pirates informatiques russophones a visé la chaîne d’alimentation en carburant de la Marine nationale

D’habitude, le gouvernement français est très prudent quand il s’agit d’attribuer officiellement l’origine des attaques informatiques ayant ciblé les services de l’État. Directeur de l’Agence nationale de la sécurité des systèmes d’information [ANSSI], Guillaume Poupard en avait donné les raisons lors d’une audition au Sénat.

« La question de l’attribution des attaques est le grand problème du cyber. On a la plupart du temps une idée de qui est derrière, mais on ne peut pas prouver l’origine devant un juge par exemple », avait en effet expliqué M. Poupard. Dans ces conditions, tant qu’il n’y a pas de preuve évidente, « l’attribution est in fine une décision politique de très haut niveau, orientée par un faisceau d’indices », avait-il ajouté.

Comme elle le fit, en septembre dernier, en révélant les activités de l’engin espion russe Loutch/Olimp-K autour du satellite militaire de télécommunications franco-italien Athena-Fidus, la ministre des Armées, Florence Parly, a évoqué une affaire similaire, mais cette fois dans le cyberespace.

« Nous sommes fin 2017. Des connexions anormales sur le serveur de la messagerie internet du ministère des Armées sont constatées. Ces connexions ont révélé après analyse qu’un attaquant cherchait à accéder directement au contenu de boites mails de 19 cadres du ministère parmi elles, celles de quelques personnalités sensibles. Sans notre vigilance, c’est toute notre chaîne d’alimentation en carburant de la Marine nationale qui aurait été exposée », a ainsi raconté Mme Parly, à l’occasion de la présentation de la « stratégie cyber des Armées », ce 18 octobre.

Cette tentative d’attaque a duré jusqu’en avril 2018, le temps de « remonter la chaîne des serveurs et des adresses IP « , en « étroite collobaration avec nos partenaires, a continué la ministre. Et, a-t-elle donc ajouté, derrière cette opération se cachait « un mode d’attaque bien connu de nos services et que certains attribuent à ‘Turla' ».

Le groupe « Turla » a fait l’objet d’une enquête de l’entreprise de sécurité informatique Kapersky Lab il y a un peu plus de trois ans. D’origine russe et actif depuis 2007, il aurait infecté des centaines d’ordinateurs de par le monde, en particulier ceux d’administrations gouvernementales, d’ambassades, d’établissements de recherche et d’organismes militaires.

Ses membres sont « capables d’intercepter du trafic Internet de certains satellites et de l’utiliser pour masquer l’emplacement de leurs serveurs de Commandes et Contrôle (C&C). Ils s’appuient pour cela sur des faiblesses de sécurité de la communication par satellites », avait résumé, à l’époque, le site Silicon.fr. « Ce modus operandi permet de garder un haut degré d’anonymat » tout en n’exigeant pas un investissement de départ coûteux [moins de 1.000 dollars pour une antenne et une carte tuner DVB-S], avait-il précisé.

Les activités de Turla ont fait l’objet d’autres rapports. Ainsi, Symantec a établi qu’il était derrière des programmes malveillants qui, appelés Wipbot, infiltraient les ordinateurs des ambassades et des gouvernements fonctionnant sous Windows. Et, plus récemment, les experts d’Eset ont affirmé qu’il avait réussié à utiliser les médias sociaux pour dissimuler des logiciels espions.

Cela étant, l’affaire évoquée par Mme Parly fait partie des « 700 incidents de sécurité, dont une centaine d’attaques, qui ont ciblé les réseaux du ministère » des armées en 2017. Et la tendance s’accélère puisque ce niveau a été atteint, l’an passé, dès le mois de septembre.

« Ce sont donc plus de deux incidents de sécurité par jour qui ont touché tout autant notre ministère, nos opérations, nos expertises techniques et même un hôpital d’instruction des Armées », a détaillé la ministre. « Certaines sont le fruit de groupes malveillants. D’autres de hackers isolés. Mais certaines, nous le savons, viennent d’Etats pour le moins indiscrets, pour le moins décomplexés », a-t-elle expliqué.

D’où la nécessité de renforcer le volet « cyber », tant sur le plan défensif qu’offensif, via l’attribution de moyens supplémentaires comme le prévoit la Loi de programmation militaire [LPM] 2019-25; avec le recrutement de 1.000 « cyber-combattants » de plus et un investissement de 1,6 milliards d’euros. Et de préciser une nouvele doctrine en la matière.

S’agissant de la « Lutte informatique défensive » [LID], il s’agira de renforcer la Posture permanente de cyberdéfense [PPC], créée par la LPM et assurée par le Commandement de la cyberdéfense [COMCYBER] afin de protéger 7 jours sur 7 et 24 heures sur 24 tous les réseaux du ministère des Armées, en coordination avec l’ANSSI et les principaux partenaires, via l’Otan et l’Union européenne.

Il est aussi question de mettre en place de nouvelles synergies entre les services de renseignement, la Direction générale de l’armement [DGA] et le COMCYBER et de « faire émerger une filière numérique de confiance, pour être capables de maîtriser le développement de nos innovations et l’emploi de nos solutions numériques », cette dernière tâche relevant de l’Agence de l’innovation de Défense [AID].

« Le ministère des Armées et les entreprises doivent travailler ensemble, se comprendre et se préparer. Nous devons adapter nos méthodes de travail, notre culture, partager les bonnes pratiques, qui évitent des failles béante », a aussi fait valoir Mme Parly.

« La cybersécurité doit être prise en compte dès la conception dans chaque système d’arme, d’information et de communication. Il faut intégrer cette nécessité dans le besoin militaire et la rappeler, sans cesse, aux industriels. Je fonde beaucoup d’espoir sur le travail en plateau engagé entre l’EMA, les états-majors d’armées et la DGA. Le cyber doit être une de vos préoccupations majeures ; c’est d’autant plus nécessaire que le combat collaboratif sera au fondement de nos futurs systèmes d’arme », a encore ajouté la ministre.

Conformément à l'article 38 de la Loi 78-17 du 6 janvier 1978 modifiée, vous disposez d'un droit d'accès, de modification, de rectification et de suppression des données vous concernant. [Voir les règles de confidentialité]