Après quelques heures d'hésitations liées au fait que l'affaire de la Cyber attaque sur Bercy fait du bruit buzz (notez l'étrange anagramme !) et n'a pas besoin de mon relais comme combustible, essayons quand même de comprendre ce qui s'est passé.
S'agit-il d'une attaque délibérée ?
En l'occurrence oui car la cible est l'une des 3 grandes directions de Bercy, pas n'importe laquelle justement : la Direction générale du Trésor.
L'attaque est-elle sophistiquée ?
Difficile à le déterminer pour le moment, les éléments techniques restent (et resteront probablement) soumis à une discrétion légitime. Pour autant, j'ai tendance à penser que l'attaque n'est pas forcément d'une grande complexité technique. Elle a nécessité une préparation discrète et importante (ingénierie sociale, peut-être aussi de la reconnaissance technique (balayage discret voire furtif de réseau[x], d'hôtes, de ports, etc.). C'est en cela qu'il faut comprendre la phrase du patron de l'ANSSI : "Indéniablement, cette attaque est l'œuvre de professionnels qui ont agi avec des moyens importants nécessitant préparation et méthode".
Quel type d'attaque alors ?
On sait que le début de l'attaque a commencé de manière presque triviale (ce qui en soi peut prouver le défaut ou l'absence de sensibilisation aux risques informatiques malveillants de tout ou partie du personnel de Bercy) : une personne reçoit un courriel probablement assez crédible qui lui fait cliquer sur la pièce jointe (Edit 8 mars : au format PDF, très difficile voire impossible à déceler). Le mal est fait car il s'agit d'un cheval de Troie qui va, probablement, chercher immédiatement à collecter les adresses électroniques des contacts de l'ordinateur corrompu pour se propager rapidement (c'est une hypothèse. Edit : qui se confirme).
Autre hypothèse : le troyen a été spécialement conçu pour s'appuyer sur des faiblesses protocolaires ou logicielles relevées durant la phase préparatoire (l'absence de mise à jour des correctifs du système d'application, par exemple, est une plaie d'Égypte depuis presque deux décennies mais toujours d'actualité).
L'attaque était-elle de grande ampleur ?
Oui si l'on considère qu'une partie des machines compromises l'ont été durant plusieurs jours ou plusieurs semaines. Il faudrait ensuite savoir quelles informations ont été illégalement détournées et si leur exploitation est un réel préjudice.
Non car il est abusif de parler d'attaque de grande ampleur du point de vue quantitatif : rappelons qu'environs 150 ordinateurs ont été touchés sur les 170 000 que comptent Bercy. De plus, il semble qu'aucun autre ministère n'ait été touché, ce qui restreint drastiquement la portée de l'adjectif "grande".
Edit : d'autant plus quand on a l'exemple de la Corée du Sud qui, dans la nuit de jeudi à vendredi dernier, a vraiment subi des attaques de grande ampleur.
Edit : d'autant plus quand on a l'exemple de la Corée du Sud qui, dans la nuit de jeudi à vendredi dernier, a vraiment subi des attaques de grande ampleur.
Le rôle de l'ANSSI.
Son expertise a permis d'empêcher une possible contagion au sein de Bercy en établissant un périmètre technique hermétique, en déverminant l'ensemble et en traitant de manière préventive une grande partie du S.I. de Bercy (Patch management probablement).
Quelles leçons tirer ?
Il est certainement présomptueux de tirer quelques conclusions pour le moment mais cette affaire met en lumière un certain nombre d'éléments encourageants mais aussi plus inquiétants.
Peu importe le ministère frappé, les réelles motivations ou l'origine de la menace, la France n'est pas la première nation ayant subi une attaque informatique (ciblée ou non). Ce qui est nouveau c'est sa médiatisation (notons d'ailleurs l'interview donnée par P. Pailloux dans...Paris Match, drôle de choix). Relevons également que l'attaque, bien préparée, a fonctionné mais qu'elle a pu être détectée, ce qui est heureux.
Enfin, l'ANSSI a mobilisé plusieurs dizaines de spécialistes durant quelques semaines mais son rôle renforcé d'acteur majeur de la cybersécurité demeure uniquement curatif. Illustration bien à propos de ce que j'en disais déjà la semaine dernière : "l'ANSSI aura un rôle de gestion de crise, ni plus ni moins [...]; au mieux elle coordonnera les quelques moyens mobilisables et tentera de limiter une attaque éventuelle".
C'est ce qui vient de se passer et il est plus que probable que l'actualité à venir n'a pas fini d'alimenter le sujet. Ici ou ailleurs...
Aucun commentaire:
Enregistrer un commentaire