La DRSD constate une hausse des actes de « cybermalveillance » contre la sphère de défense française

Conformément à l'article 38 de la Loi 78-17 du 6 janvier 1978 modifiée, vous disposez d'un droit d'accès, de modification, de rectification et de suppression des données vous concernant. [Voir les règles de confidentialité]

18 contributions

  1. Raymond75 dit :

    Il est pratiquement impossible d’assurer une sécurité absolue dans Internet. Trop de gens travaillent sur les processeurs, les codes et les protocoles informatiques pour qu’il n’y ait pas une fuite tôt ou tard, ou une procédure dissimulée que quelqu’un peut réactiver. De plus, ces machines et logiciels sont utilisés par des humains, qui ne sont pas parfaits car ils ne sont pas encore des robots : mots de passe communs pour des tas de sites, y compris des sites mal protégés, indiscrétions, maladresses, volonté de se venger …

    Beaucoup de hackers, qui sont des gens très brillants et passionnés par l’informatique, ne dorment plus tant qu’ils n’ont pas trouvé la faille qu’ils cherchent. Puis beaucoup d’entre eux candidatent par la suite dans des services de cybersécurité …

    Enfin, la multiplication des objets connectés, jusqu’à la porte de votre réfrigérateur, sont autant de points d’accès non sécurisés.

    Un jour, il faudra en revenir à une unité centrale avec des terminaux passifs, sans périphériques, et peut être remplacer tous ces mots de passe par une micro puce individuelle insérée entre le pouce et l’index, comme cela se fait déjà dans certains milieux très en pointe, ou dans un pays comme l’Estonie je crois, très informatisé.

    J’ajoute qu’avoir choisi Microsoft pour équiper les micros de la défense française est une absurdité, tant les liens entre cette société et la CIA sont connus et forts. Il aurait fallut adapter un environnement UNIX hautement personnalisé, ce qu’avait fait en son temps la Gendarmerie.

    • Henri dit :

      Il faudrait surtout déconnecter d’Internet ce qui ne devrait pas l’être, ça règlerait bcp de problèmes.
      A l’heure de l’optimisation des TMA et réduction de coûts on a exposé tout un tas de systèmes sensibles et non protégés, en particulier dans l’industrie et la santé.
      Vision réduite du capitalisme.

    • précision dit :

      C’est surtout que l’industrie informatique a depuis longtemps fait le choix d’architectures non sécurisées. Presque systématiquement. Ce sont surtout des choix faits aux USA qui ont mis en avant des solutions technologiques dans lesquelles la sécurité n’était pas la priorité (mail, architecture des ordinateurs, même systèmes d’exploitation, langages, et je ne parle même pas des logiciels).
      Aucun de ces choix pris individuellement n’était idiot, mais le résultat est qu’on travaille sur des systèmes vulnérables.

  2. HM dit :

    Il y a déjà énormément de savoir faire pour sécuriser un systèmes informatique et quand les règles de base sont bien appliquées, c’est quasi impossible d’entrer par effraction.
    En fait le premier problème que l’on rencontre, c’est un problème de prise de conscience et l’application à tout les niveaux des bonnes pratiques. Par exemple, peu de personnes comprennent bien que le fait d’aller sur « internet » depuis chez soi, c’est être dans un espace publique, que l’on se connecte à des machines parfois à l’autre bout du monde. Quand on écrits un message sur internet, il faut garder en tête que c’est pratiquement la même chose que de parler à voie haute dans la rue à un publique potentiellement mondial (encore plus si vous écrivez en anglais ;o) ) … de fait c’est pire, car tout est/peut être facilement enregistré et archivé.
    Après, il y a la formation aux bases de la sécurité, cela s’améliore, mais beaucoup d’entreprises n’ont pas encore cette culture, pour donner une image, on trouve encore des portes blindées montées sur des vérandas (j’exagère à peine).

    Si les bases sont maîtrisées et appliquées correctement, ce qui est alors recherché, c’est la fameuse faille « zero day », un défaut dans la cuirrasse que personne ne connaît encore. La tradition voulais que ces failles soient rendues publiques rapidement pour limiter leur impact et permettre la mise au point de correctifs très rapidement, puis certains ont judicieusement réalisé que cela pouvait être un avantage (et un bon commerce) et ont commencé à faire des collections « privées » de failles zero day. Le problème, c’est que la faille n’étant pas corrigée, le risque n’est pas nul que l’un de nos amis qui nous veut du bien la découvre aussi et ne dise rien lui aussi!

    Pour finir, la génération qui arrive aux postes de décisionnaires est la première à vraiment être acculturée à internet d’où, plus que des attaques cyber, c’est l’intégration de ces capacités dans une stratégie de guerre d’ensemble qui est en cours et c’est là , à mon sens, que réside le défis.

    • farragut dit :

      Le « quasi impossible » n’est pas de ce monde, du moins de cette planète ! Il y a tellement de raisons dans ce mode réel pour ne pas appliquer les bonnes pratiques que cela relève de la désinformation de faire croire qu’un système d’information est « sécurisé ». La pression sur la réduction des coûts (sous-traitance au moins-disant généralisée), l’absence de vérification de la bonne relecture des sauvegardes, pour ne citer que ces deux cas, font qu’il est illusoire de penser protéger les données.
      Pour comparaison, l’informatique est une pratique jeune par rapport au nucléaire, et il suffit de lire les rapports d’incidents sur nos propres centrales nucléaires pour se convaincre que même avec des risques élevés, le management penche toujours vers la stupidité la plus crasse: pas de vérification de la continuité du refroidissement pour les piscines de stockage des combustibles (cf. accident sur un des réacteurs de Fukushima), pas de protection contre le blocage des inondations, ou au contraire le gel des canalisations d’entrée d’eau (cas de la centrale du Blayais en 1999). Il y a d’excellents rapports sur le sujet, et je ne parle même pas du cas de l’usine de La Hague avec ses tonnes de plutonium, ou ses disséminations mondiales de plutonium dans le MOX livré aux clients (on se demande même pourquoi les Iraniens se démènent pour enrichir l’uranium, alors qu’il suffisait de demander une centrale civile avec du MOX français pour obtenir directement le plutonium !).
      Blague à part, l’exemple du virus Stuxnet envoyé sur les contrôleurs Siemens des centrifugeuses montre bien que la sécurisation est quelque peu illusoire, et que le risque est moins sur les données (à part le chantage sur les personnes) que sur les usines (type Seveso) ou sur les centres de distribution de l’eau potable des villes. Je ne pense pas que les hackers professionnels s’attaqueraient aux centres de distribution électrique, puisque les ordinateurs cibles ne seraient plus alimentés !
      Le plus sûr est donc d’avoir des décideurs formés aux risques (et non pas à leur déni!). Mais le plus difficile est d’obtenir cette intégrité dans la prise de décision qui manque à nos dirigeants politiques… Il y a encore du boulot!

  3. Souvenirs d'Asie Centrale Soviétique dit :

    Raymond75, je ne sais pas ce que tu fumes, mais cela doit être de la super bonne là !!!!!!!!!!!!!

    • Jm dit :

      Sans aller jusque là, il y a de simples gestes à appliquer qui souvent sont soit oublié, soit négligé
      Quand vous quittez votre domicile, vous fermez votre maison à clef.
      Pourquoi, quand les gens quittent leur bureau, même pour aller fumer une cigarette, l’ordinateur reste connecté et sans verrouillage, car le verrouillage automatique n’agit qu’après en moyenne 5mn.
      Pourquoi, quand on a suspiçion de piratage, nos cartes bancaires ou nos codes d’accès informatiques bancaires sont changés par les établissements bancaires, et que les utilisateurs ne changent quasiment jamais d’initiative leur mot de passe, attendant que la machine le leur impose.
      La sécurité, c’est comme les assurances, ça coûte cher, ça emmerd…tout le monde mais quand on a un problème, on sort la phrase : si j’avais su…
      Mais vous saviez, c’est ça le problème.
      Parce que vous pouvez mettre tous les forceurs de codes du monde au travail, si vous appliquez avec rigueur de simples gestes de sécurité de base, il va se passer un bon moment avant qu’ils ne pénètrent votre système.
      N’oubliez jamais que dans 99 % des cas, le problème se situe entre le fauteuil et l’écran.
      Beaucoup vont écrire que c’est démago, malheureusement, c’est la réalité

      • farragut dit :

        L’expérience montre qu’en entreprise, les ordinateurs restent sous tension même quand on ne s’en sert pas, ne serait-ce que pour mettre à jour nuitamment les logiciels ou même les signatures d’antivirus… Ces mêmes mises à jour proviennent en général de fournisseurs via l’Internet, ce qui fait que les entreprises sont constamment connectées sur l’Internet. Difficile de fermer son entreprise à clé dans le cyberespace. C’est donc en général par le biais des fournisseurs de logiciel (et encore mieux quand il s’agit de logiciels d’administration!) que les hackers peuvent pénétrer les réseaux pour nuire aux cibles…

        • Kali dit :

          @farragut
          Phishing / spear phishing plutôt, donc mail pour le tout venant (Lise Charmel -ransomware- il y a un an).
          Les attaques par la chaîne logistique sont surpuissantes (Orion / SolarWind est là pour nous le rappeler) mais pas les plus courantes.
          Les mises à jour non appliquées restent l’un des problèmes majeurs avec l’exposition sur internet de trucs n’ayant rien à y faire (Centreon récemment, WannaCry / Renault Sandouville, etc.) comme vous le rappelez plus haut.

          « C’est donc en général par le biais des fournisseurs de logiciel […] »
          Vous avez beau jeu de dénoncer les fournisseurs de logiciels. L’utilisation d’une méthode formelle pour valider le non écart entre le code et les spécifications est extrêment rare. Je ne connais que l’automatisation des lignes 14 et 1 du métro de Paris comme exemple. Donc à part le secteur des transports ?
          De plus, tout langage possède ses vulnérabilités. Les logiciels sont tous vulnérables à ceci ou à cela. S’il n’y a rien de connu, c’est qu’on n’a pas encore cherché (cf. VxWorks / Urgent11).

          « Je ne pense pas que les hackers professionnels s’attaqueraient aux centres de distribution électrique, puisque les ordinateurs cibles ne seraient plus alimentés ! »
          Ca dépend du but recherché. Voyez BlackEnergy3 en Ukraine (2015 / 2017) ou les tentatives contre ERDF (ou RTE ?) en 2018. De plus, je pense que vous savez comme moi que la redondance électrique avec onduleurs et groupe électrogène indépendant de secours est le minimum vital pour une usine (même pas d’ailleurs pour des raisons de SSI, mais pour des raisons de sûreté de fonctionnement). Pour peu que votre charge utile soit persistante…

          Pour Stuxnet, j’avais compris que c’était une clé USB branché dans l’intérieur de la centrale, pas une attaque par le réseau. Si vous avez des sources autres, je suis preneur.

          Je vous rejoins sur le reste.

          • farragut dit :

            Vous avez raison sur l’attaque par clé USB, ce protocole ayant le défaut de pouvoir faire croire à un PC qu’un clavier peut être un support de données… ThinkGeek vendait une telle clé -Phantom Keystrocker- pour injecter des caractères aléatoires (sans passer réellement des ordres au PC, contrairement à Stuxnet).
            (voir https://www.amazon.com/ThinkGeek-Phantom-Keystroker-High-Tech-Office-Based/dp/B002YJW7C4 et https://www.youtube.com/watch?v=2mcJMAUVdmE )
            Mon propos était plutôt de mettre en avant le risque plus élevé de perturber le fonctionnement d’un procédé industriel manipulant de l’énergie (chimique, nucléaire ou hydraulique) et/ou celui des circuits d’alimentation en eau potable (ou de refroidissement s’il s’agit de réacteurs nucléaires). L’hypothèse que les systèmes d’information soient « secourus » en alimentation électrique est à pondérer: je n’ai pas voulu parler des cas connus (Fukushima, La Hague) où les alimentations ont été, ou ont failli être, coupées.
            La conséquence étant qu’il n’y a plus de moyens d’opérer à distance sur les procédés, ni de connaître leur état de fonctionnement. Donc même avec des criticités élevées ou extrêmes, les concepteurs de ces moyens industriels laissent toujours des failles de sureté de fonctionnement, empêchant un mode dégradé « fail safe ». Et les risques climatiques (ouragans, inondations, tornades) ou naturels (séismes) sont parfois plus inventifs que les hackers… Pour ce qui concerne les attaques globales sur les réseaux électriques d’un pays (genre Inde par la Chine), elles sont « one shot », car quand les routeurs d’Internet ne sont plus alimentés, il n’y a plus d’Internet, donc plus d’autre attaque informatique possible !

  4. Frédéric dit :

    Espionnage classique toujours en cours également. Un diplomate russe expulsé secrètement il y a quelques semaines :

    https://www.lesechos.fr/monde/europe/paris-et-moscou-ont-mutuellement-expulse-des-diplomates-dans-le-plus-grand-secret-1295459

  5. Raymond75 dit :

    Microsoft a été piraté : des hackers ont volé les données de 30000 organisations :

    https://www.phonandroid.com/microsoft-pirate-hackers-donnees-30000-organisations-faille.html

  6. Raymond75 dit :

    L’Inde a évoqué les possibilités de piratage des systèmes des systèmes de défense aérienne russes S-400.
    Подробнее на: https://avia-pro.fr/news/v-indii-zayavili-o-vzlome-rossiyskih-s-400 :

    https://avia-pro.fr/news/v-indii-zayavili-o-vzlome-rossiyskih-s-400

  7. SCAtastrophe dit :

    Qu’est ce qu’il pourrait mal se passer?
    https://mobile.twitter.com/SCArmees/status/1285975711237406722