La DRSD constate une hausse des actes de « cybermalveillance » contre la sphère de défense française
Le 18 février dernier, et après de nouvelles attaques contre les systèmes informatiques d’hôpitaux, le gouvernement a dévoilé un plan doté d’un milliard d’euros afin de renforcer la « stratégie nationale pour la cybersécurité ».
Financé par France Relance et le Programme d’investissement d’avenir [PIA], ce renforcement vise à atteindre plusieurs objectifs d’ici 2025 : tripler le chiffre d’affaires de la filière « cybersécurité » [et donc de le porter à 25 milliards, ndlr], positionner la France par rapport à la concurrence internationale en doublant notamment les emplois de cette dernière, diffuser une véritable culture de la cybersécurité dans les entreprises et stimuler la recherche française en cyber et l’innovation industrielle.
En outre, il est aussi question de renforcer les synergies et les liens entre les différents acteurs de la cybersécurité. D’où la signature, le 4 mars, d’une convention liant le ministère des Armées au Groupement d’Intérêt Public Action contre la cybermalveillance [GIP Acyma], qui réunit notamment l’Agence nationale de la sécurité des systèmes d’information [ANSSI], le secrétariat d’État en charge du Numérique ainsi que les ministères de l’Intérieur, de la Justice et de l’Économie.
« S’associer avec vous, c’est donc rejoindre une communauté de compétences au service d’une mission d’intérêt général », a affirmé Florence Parly, la ministre des Armées, lors de la signature de cette convention avec le GIP Acyma, après avoir rappelé que la Loi de programmation militaire [LPM] 2019-25 consacre 1,6 milliard d’euros à la cyberdéfense et que 1.000 « cybercombattants » supplémentaires devront avoir été recrutés d’ici 2025.
Dans le même temps, le nombre d’attaques informatiques progresse d’une façon quasi-exponentielle. Selon Mme Parly, il a été multiplié par quatre entre 2020 et 2021. Et ce phénomène ne touche « plus seulement les grandes entreprises et les géants de la tech[nologie] » mais aussi « des particuliers, des collectivités locales et même des hôpitaux », a-t-elle relevé.
Cette tendance est également observé sur les théâtres d’opérations où sont engagés les forces françaises. « L’arme cyber peut être employée par d’autres puissances étatiques, par des groupes terroristes ou, et c’est plus insidieux, par leurs soutiens. Sur le théâtre de l’opération Barkhane […], nous avons récemment constaté une augmentation des attaques », a indiqué Mme Parly, confirmant ainsi ce qu’a constaté la 807e Compagnie de transmissions, qui, récemment, s’est employée à contrer une attaque informatique tous les dix jours aux Sahel.
Cela étant, les actes de « cybermalveillance » contre la « sphère » de défense se sont multipliés au cours de ces derniers mois. Tel est le constat fait par la Direction du renseignement de la sécurité de la défense [DRSD], dont l’une des principales missions est de contrer les tentatives d’ingérence et de déstabilisation et qui détachera, à plein temps, l’un de ses officiers auprès du GIP Acyma.
« Chaque jour malheureusement, elle est le témoin de comportements malveillants nouveaux et de plus en plus sophistiqués. À titre d’exemple, car ils parlent plus que les théories, la DRSD a observé, au second semestre 2020, une large mobilisation d’individus menant des actions cyber offensives et propagandistes à caractère islamiste », a révélé Mme Parly.
« Ces actions ont conduit à une vague de défigurations de sites web d’entités ou de personnes physiques françaises liées à la sphère Défense » et la « DRSD a donc fourni son appui pour stopper ces attaques et identifier, quand cela était possible, les attaquants », a ensuite précisé la ministre.
Évidemment, avec l’essor du télétravail en raison des confinements décrétés pour tenter de freiner l’épidémie de covid-19, on pouvait craindre une multiplication des cas d’espionnage industriel… Craintes qui étaient a priori fondées.
Dans ce domaine, a indiqué Mme Parly, la DRSD a « aussi identifié de nombreux cas d’ingénierie sociale : c’est-à-dire des techniques de manipulation psychologique qui sont utilisées par les cybercriminels pour inciter les gens à partager des informations confidentielles. » Les entreprises visées ont été averties et conseillées par le ministère des Armées.
Et probablement que la DRSD aura un surcroît de travail après la fuite de données confidentielles ayant affecté Dedalus, un éditeur de logiciels pour les établissements de santé. Le 26 février, ce dernier a fait savoir que 28 de ses clients [des laboratoires], implantés en Bretagne, Centre-Val de Loire et Normandie, avaient été touchés par cet acte de cybercriminalité. Ce qui fait que les informations médicales d’environ 500.000 personnes se trouvent actuellement dans la nature, dont celles d’au moins 1.767 militaires, selon Intelligence Online [IOL]
« Ces derniers sont identifiables par leur affiliation à la Caisse nationale militaire de sécurité sociale de Toulon », explique IOL. Et « 1.000 d’entre eux sont localisés à Évreux, dont plus de 230 sont explicitement rattachés à la base aérienne 105 […]. Cette dernière abrite trois escadres, dont le GAM-56 [Groupe aérien mixte 56 Vaucluse], l’unité aérienne du service action de la DGSE », poursuit-il, redoutant de « futures attaques de phishing ».
Il est pratiquement impossible d’assurer une sécurité absolue dans Internet. Trop de gens travaillent sur les processeurs, les codes et les protocoles informatiques pour qu’il n’y ait pas une fuite tôt ou tard, ou une procédure dissimulée que quelqu’un peut réactiver. De plus, ces machines et logiciels sont utilisés par des humains, qui ne sont pas parfaits car ils ne sont pas encore des robots : mots de passe communs pour des tas de sites, y compris des sites mal protégés, indiscrétions, maladresses, volonté de se venger …
Beaucoup de hackers, qui sont des gens très brillants et passionnés par l’informatique, ne dorment plus tant qu’ils n’ont pas trouvé la faille qu’ils cherchent. Puis beaucoup d’entre eux candidatent par la suite dans des services de cybersécurité …
Enfin, la multiplication des objets connectés, jusqu’à la porte de votre réfrigérateur, sont autant de points d’accès non sécurisés.
Un jour, il faudra en revenir à une unité centrale avec des terminaux passifs, sans périphériques, et peut être remplacer tous ces mots de passe par une micro puce individuelle insérée entre le pouce et l’index, comme cela se fait déjà dans certains milieux très en pointe, ou dans un pays comme l’Estonie je crois, très informatisé.
J’ajoute qu’avoir choisi Microsoft pour équiper les micros de la défense française est une absurdité, tant les liens entre cette société et la CIA sont connus et forts. Il aurait fallut adapter un environnement UNIX hautement personnalisé, ce qu’avait fait en son temps la Gendarmerie.
Il faudrait surtout déconnecter d’Internet ce qui ne devrait pas l’être, ça règlerait bcp de problèmes.
A l’heure de l’optimisation des TMA et réduction de coûts on a exposé tout un tas de systèmes sensibles et non protégés, en particulier dans l’industrie et la santé.
Vision réduite du capitalisme.
C’est surtout que l’industrie informatique a depuis longtemps fait le choix d’architectures non sécurisées. Presque systématiquement. Ce sont surtout des choix faits aux USA qui ont mis en avant des solutions technologiques dans lesquelles la sécurité n’était pas la priorité (mail, architecture des ordinateurs, même systèmes d’exploitation, langages, et je ne parle même pas des logiciels).
Aucun de ces choix pris individuellement n’était idiot, mais le résultat est qu’on travaille sur des systèmes vulnérables.
Il y a déjà énormément de savoir faire pour sécuriser un systèmes informatique et quand les règles de base sont bien appliquées, c’est quasi impossible d’entrer par effraction.
En fait le premier problème que l’on rencontre, c’est un problème de prise de conscience et l’application à tout les niveaux des bonnes pratiques. Par exemple, peu de personnes comprennent bien que le fait d’aller sur « internet » depuis chez soi, c’est être dans un espace publique, que l’on se connecte à des machines parfois à l’autre bout du monde. Quand on écrits un message sur internet, il faut garder en tête que c’est pratiquement la même chose que de parler à voie haute dans la rue à un publique potentiellement mondial (encore plus si vous écrivez en anglais ;o) ) … de fait c’est pire, car tout est/peut être facilement enregistré et archivé.
Après, il y a la formation aux bases de la sécurité, cela s’améliore, mais beaucoup d’entreprises n’ont pas encore cette culture, pour donner une image, on trouve encore des portes blindées montées sur des vérandas (j’exagère à peine).
Si les bases sont maîtrisées et appliquées correctement, ce qui est alors recherché, c’est la fameuse faille « zero day », un défaut dans la cuirrasse que personne ne connaît encore. La tradition voulais que ces failles soient rendues publiques rapidement pour limiter leur impact et permettre la mise au point de correctifs très rapidement, puis certains ont judicieusement réalisé que cela pouvait être un avantage (et un bon commerce) et ont commencé à faire des collections « privées » de failles zero day. Le problème, c’est que la faille n’étant pas corrigée, le risque n’est pas nul que l’un de nos amis qui nous veut du bien la découvre aussi et ne dise rien lui aussi!
Pour finir, la génération qui arrive aux postes de décisionnaires est la première à vraiment être acculturée à internet d’où, plus que des attaques cyber, c’est l’intégration de ces capacités dans une stratégie de guerre d’ensemble qui est en cours et c’est là , à mon sens, que réside le défis.
Le « quasi impossible » n’est pas de ce monde, du moins de cette planète ! Il y a tellement de raisons dans ce mode réel pour ne pas appliquer les bonnes pratiques que cela relève de la désinformation de faire croire qu’un système d’information est « sécurisé ». La pression sur la réduction des coûts (sous-traitance au moins-disant généralisée), l’absence de vérification de la bonne relecture des sauvegardes, pour ne citer que ces deux cas, font qu’il est illusoire de penser protéger les données.
Pour comparaison, l’informatique est une pratique jeune par rapport au nucléaire, et il suffit de lire les rapports d’incidents sur nos propres centrales nucléaires pour se convaincre que même avec des risques élevés, le management penche toujours vers la stupidité la plus crasse: pas de vérification de la continuité du refroidissement pour les piscines de stockage des combustibles (cf. accident sur un des réacteurs de Fukushima), pas de protection contre le blocage des inondations, ou au contraire le gel des canalisations d’entrée d’eau (cas de la centrale du Blayais en 1999). Il y a d’excellents rapports sur le sujet, et je ne parle même pas du cas de l’usine de La Hague avec ses tonnes de plutonium, ou ses disséminations mondiales de plutonium dans le MOX livré aux clients (on se demande même pourquoi les Iraniens se démènent pour enrichir l’uranium, alors qu’il suffisait de demander une centrale civile avec du MOX français pour obtenir directement le plutonium !).
Blague à part, l’exemple du virus Stuxnet envoyé sur les contrôleurs Siemens des centrifugeuses montre bien que la sécurisation est quelque peu illusoire, et que le risque est moins sur les données (à part le chantage sur les personnes) que sur les usines (type Seveso) ou sur les centres de distribution de l’eau potable des villes. Je ne pense pas que les hackers professionnels s’attaqueraient aux centres de distribution électrique, puisque les ordinateurs cibles ne seraient plus alimentés !
Le plus sûr est donc d’avoir des décideurs formés aux risques (et non pas à leur déni!). Mais le plus difficile est d’obtenir cette intégrité dans la prise de décision qui manque à nos dirigeants politiques… Il y a encore du boulot!
L’actualité le prouve :
https://www.journaldugeek.com/2021/03/05/cybersecurite-importante-fuite-de-donnees-au-sein-de-larmee-francaise/
Une fuite qui aurait été détectée par Cybel Angel :
https://www.challenges.fr/entreprise/cybelangel-la-pepite-cyber-francaise-entre-au-next40_750002
https://www.lefigaro.fr/secteur/high-tech/le-francais-cybelangel-leve-33-millions-d-euros-pour-traquer-les-fuites-de-donnees-20200212
La réaction a été très lente et décousue :
https://www.lemonde.fr/pixels/article/2021/02/25/cinq-questions-sur-la-fuite-des-donnees-medicales-de-500-000-francais-sur-le-web_6071223_4408996.html
https://www.liberation.fr/checknews/fuite-de-donnees-de-sante-de-500-000-patients-les-retards-et-les-rates-des-autorites-20210227_U3FSHC7NYVBZ7EA74B3MA5U6CE/
On peut aussi le voir quand on cherche si l’on est concerné :
https://www.clubic.com/pro/legislation-loi-internet/cnil/actualite-363477-fuite-de-donnees-de-sante-la-cnil-deconseille-l-utilisation-des-sites-qui-checkent-votre-situation.html
https://www.cnil.fr/fr/fuite-massive-de-donnees-de-sante-comment-savoir-si-elle-vous-concerne-et-que-pouvez-vous-faire
Concernant les données personnelles de santé des français, en dehors de ce cas de fuite, il faut bien se dire que Microsoft a la main (comme dans les armées, la Gendarmerie a fait bande à part) :
https://www.usine-digitale.fr/article/d-ici-deux-ans-microsoft-ne-sera-plus-l-hebergeur-du-health-data-hub.N1031429
Moins personnelle, mais tout encore plus énorme, le cas de la base de données du « service civique » :
https://www.ouest-france.fr/high-tech/internet/une-base-de-donnees-du-service-civique-fuite-sur-le-web-1-4-million-d-utilisateurs-concernes-6856711
D’ailleurs si vous êtes concerné et desireux de porter plainte, pas la peine d’encombrer les lignes téléphoniques :
https://actu.fr/faits-divers/piratage-ocealab-les-forces-de-l-ordre-croulent-sous-les-appels-voici-la-demarche-a-suivre_40004267.html
Raymond75, je ne sais pas ce que tu fumes, mais cela doit être de la super bonne là !!!!!!!!!!!!!
Sans aller jusque là, il y a de simples gestes à appliquer qui souvent sont soit oublié, soit négligé
Quand vous quittez votre domicile, vous fermez votre maison à clef.
Pourquoi, quand les gens quittent leur bureau, même pour aller fumer une cigarette, l’ordinateur reste connecté et sans verrouillage, car le verrouillage automatique n’agit qu’après en moyenne 5mn.
Pourquoi, quand on a suspiçion de piratage, nos cartes bancaires ou nos codes d’accès informatiques bancaires sont changés par les établissements bancaires, et que les utilisateurs ne changent quasiment jamais d’initiative leur mot de passe, attendant que la machine le leur impose.
La sécurité, c’est comme les assurances, ça coûte cher, ça emmerd…tout le monde mais quand on a un problème, on sort la phrase : si j’avais su…
Mais vous saviez, c’est ça le problème.
Parce que vous pouvez mettre tous les forceurs de codes du monde au travail, si vous appliquez avec rigueur de simples gestes de sécurité de base, il va se passer un bon moment avant qu’ils ne pénètrent votre système.
N’oubliez jamais que dans 99 % des cas, le problème se situe entre le fauteuil et l’écran.
Beaucoup vont écrire que c’est démago, malheureusement, c’est la réalité
L’expérience montre qu’en entreprise, les ordinateurs restent sous tension même quand on ne s’en sert pas, ne serait-ce que pour mettre à jour nuitamment les logiciels ou même les signatures d’antivirus… Ces mêmes mises à jour proviennent en général de fournisseurs via l’Internet, ce qui fait que les entreprises sont constamment connectées sur l’Internet. Difficile de fermer son entreprise à clé dans le cyberespace. C’est donc en général par le biais des fournisseurs de logiciel (et encore mieux quand il s’agit de logiciels d’administration!) que les hackers peuvent pénétrer les réseaux pour nuire aux cibles…
@farragut
Phishing / spear phishing plutôt, donc mail pour le tout venant (Lise Charmel -ransomware- il y a un an).
Les attaques par la chaîne logistique sont surpuissantes (Orion / SolarWind est là pour nous le rappeler) mais pas les plus courantes.
Les mises à jour non appliquées restent l’un des problèmes majeurs avec l’exposition sur internet de trucs n’ayant rien à y faire (Centreon récemment, WannaCry / Renault Sandouville, etc.) comme vous le rappelez plus haut.
« C’est donc en général par le biais des fournisseurs de logiciel […] »
Vous avez beau jeu de dénoncer les fournisseurs de logiciels. L’utilisation d’une méthode formelle pour valider le non écart entre le code et les spécifications est extrêment rare. Je ne connais que l’automatisation des lignes 14 et 1 du métro de Paris comme exemple. Donc à part le secteur des transports ?
De plus, tout langage possède ses vulnérabilités. Les logiciels sont tous vulnérables à ceci ou à cela. S’il n’y a rien de connu, c’est qu’on n’a pas encore cherché (cf. VxWorks / Urgent11).
« Je ne pense pas que les hackers professionnels s’attaqueraient aux centres de distribution électrique, puisque les ordinateurs cibles ne seraient plus alimentés ! »
Ca dépend du but recherché. Voyez BlackEnergy3 en Ukraine (2015 / 2017) ou les tentatives contre ERDF (ou RTE ?) en 2018. De plus, je pense que vous savez comme moi que la redondance électrique avec onduleurs et groupe électrogène indépendant de secours est le minimum vital pour une usine (même pas d’ailleurs pour des raisons de SSI, mais pour des raisons de sûreté de fonctionnement). Pour peu que votre charge utile soit persistante…
Pour Stuxnet, j’avais compris que c’était une clé USB branché dans l’intérieur de la centrale, pas une attaque par le réseau. Si vous avez des sources autres, je suis preneur.
Je vous rejoins sur le reste.
Vous avez raison sur l’attaque par clé USB, ce protocole ayant le défaut de pouvoir faire croire à un PC qu’un clavier peut être un support de données… ThinkGeek vendait une telle clé -Phantom Keystrocker- pour injecter des caractères aléatoires (sans passer réellement des ordres au PC, contrairement à Stuxnet).
(voir https://www.amazon.com/ThinkGeek-Phantom-Keystroker-High-Tech-Office-Based/dp/B002YJW7C4 et https://www.youtube.com/watch?v=2mcJMAUVdmE )
Mon propos était plutôt de mettre en avant le risque plus élevé de perturber le fonctionnement d’un procédé industriel manipulant de l’énergie (chimique, nucléaire ou hydraulique) et/ou celui des circuits d’alimentation en eau potable (ou de refroidissement s’il s’agit de réacteurs nucléaires). L’hypothèse que les systèmes d’information soient « secourus » en alimentation électrique est à pondérer: je n’ai pas voulu parler des cas connus (Fukushima, La Hague) où les alimentations ont été, ou ont failli être, coupées.
La conséquence étant qu’il n’y a plus de moyens d’opérer à distance sur les procédés, ni de connaître leur état de fonctionnement. Donc même avec des criticités élevées ou extrêmes, les concepteurs de ces moyens industriels laissent toujours des failles de sureté de fonctionnement, empêchant un mode dégradé « fail safe ». Et les risques climatiques (ouragans, inondations, tornades) ou naturels (séismes) sont parfois plus inventifs que les hackers… Pour ce qui concerne les attaques globales sur les réseaux électriques d’un pays (genre Inde par la Chine), elles sont « one shot », car quand les routeurs d’Internet ne sont plus alimentés, il n’y a plus d’Internet, donc plus d’autre attaque informatique possible !
Espionnage classique toujours en cours également. Un diplomate russe expulsé secrètement il y a quelques semaines :
https://www.lesechos.fr/monde/europe/paris-et-moscou-ont-mutuellement-expulse-des-diplomates-dans-le-plus-grand-secret-1295459
Un monde de plus en plus connecté est un monde de plus en plus vulnérable…
https://www.meta-defense.fr/2021/03/05/la-darpa-met-en-service-des-technologies-pour-remonter-la-grille-electrique-us-victime-dattaques-cyber/
Microsoft a été piraté : des hackers ont volé les données de 30000 organisations :
https://www.phonandroid.com/microsoft-pirate-hackers-donnees-30000-organisations-faille.html
L’Inde a évoqué les possibilités de piratage des systèmes des systèmes de défense aérienne russes S-400.
Подробнее на: https://avia-pro.fr/news/v-indii-zayavili-o-vzlome-rossiyskih-s-400 :
https://avia-pro.fr/news/v-indii-zayavili-o-vzlome-rossiyskih-s-400
Qu’est ce qu’il pourrait mal se passer?
https://mobile.twitter.com/SCArmees/status/1285975711237406722