Le directeur général de l’ANSSI confirme l’ampleur de l’attaque d’espionnage informatique. S’il admet que Bercy n’était pas seul visé, il indique que les autres cibles n’ont pas été touchées.

Conférence de presse cet après midi dans les locaux de l’Agence Nationale pour la Sécurité des Systèmes d’Information. Son directeur général, Patrick Pailloux, explique que la décision de communiquer sur ces événement est destinée à faire prendre conscience aux entreprises publiques comme privées de la réalité et de la gravité de la menace. « Les entreprises sont parfois frileuses et peu conscientes du niveau de risque en ce domaine. Nous pensons que le fait de communiquer va contribuer à la sensibilisation en ce domaine », précise-t-il.
M. Pailloux confirme que l’attaque dont on a été victime environ 150 ordinateurs de Bercy est la plus importante jamais enregistrée par une administration française. S’il indique que d’autres cibles travaillant sur le G20 (ministère des affaires étrangères, Elysée …) ont été visées, il affirme, contrairement à ce qu’indique Libération, que ces attaques n’ont pas abouti. Pour sa part, notre confrère indique que des documents auraient été dérobés depuis l’Elysée, selon une source du Ministère de l’Intérieur.

Patrick Pailloux précise que l’information a été découverte au début du mois de janvier 2011. Les premiers soupçons sont arrivés après qu’une personne ait soit disant émis un mail alors qu’elle prétendait ne pas l’avoir fait. C’est ainsi que les services ont découvert qu’un attaquant se faisait passer pour lui. Dès lors, les personnes en charge de la sécurité informatique à Bercy et à l’ANSSI ont remonté la pelote et se rendus compte de l’importance et du professionnalisme de l’attaque. Patrick Pailloux le confirme d’ailleurs explicitement. « Il s’agit d’une attaque de professionnels, déterminés et organisés », affirme-t-il. Professionnels car il ne s’agit pas de trois ordinateurs dans un garage mais un réseau vaste, diversifié et très technique, déterminés et organisés vu la manière dont ont été conduites les attaques, les opérations d’exfiltration des données aini que les différentes procédures d’anonymisation.

De l’espionnage sur la politique économique


Concernant les actions menées depuis la découverte, le directeur de l’ANSSI indique qu’elles sont de 4 types et ont été menées avec Bercy et les services de police. Tout’abord comprendre techniquement et en profondeur ce qui c’était passé. Ensuite, voir quelle était l’étendue de l’attaque. Notons qu’il existe plus de 170.000 ordinateurs à Bercy, auxquels il convient d’ajouter les autres services potentiellement visés. Troisièmement, il a fallu bloquer l’attaque. Enfin, la dernière opération a consisté à resécuriser. Ainsi l’informatique de Bercy a-t-elle été déconnectée de l’Internet pendant le week-end. 150 personnes de Bercy et une trentaine de l’ANSSI ont participé à ce travail.

La cible visée était globalement la politique économique de la France à l’échelle internationale et des documents relatifs au G20. Des documents concernant ces domaines ont ainsi été dérobés. Concernant les moyens techniques utilisés, M. Pailloux se montre volontairement peu prolixe pour ne pas donner trop d’indications aux attaquants. Il indique qu’il s’agit d’une combinaison de virus et chevaux de troie qui n’ont pas été détectés par les anti-virus. Interrogé sur le fait que les pirates aient utilisé des failles de type zero-day, le directeur de l’ANSSi répond par la négative. Dès lors on en conclut que l’attaque a sans doute été conduite en exploitant des failles non corrigées sur certains ordinateurs de Bercy. De fait, il paraît extrêmement difficile pour ne pas dire impossible de disposer de 170 000 postes parfaitement mis à jour. M. Pailloux indique que la pièce jointe infectée ouverte par un utilisateur a très certainement été la primo-infection permettant ensuite de pénétrer plus profondément le système d’information. Il confirme également que certains postes étaient totalement sous le contrôle des pirates, y compris les systèmes de messagerie. Dès lors, une masse très importante de documents a été récupérée, certains sans aucune importance, d’autres beaucoup plus sensibles. Toutefois, les documents les secrets, ceux qui passent au travers du réseau interministériel ISIS n’ont pas été compromis, du moins pas directement. A une question que nous lui avons posée Patrick Pailloux confirme avoir désormais compris les mécanismes de l’attaque mais s’est gardé de nous le révéler.

Difficile voire impossible de trouver l’origine


Concernant l’origine de l’attaque, M. Pailloux se montre très prudent. Il s’agit d’une attaque à dimension internationale avec des ordinateurs présents sur de très nombreux endroits sur la planète même si des confrères indiquent que l’Asie a été la destination privilégiée. Il concède toutefois beaucoup de ressemblances avec une attaque survenue voici quelques semaines sur différentes infrastructures canadiennes. Il précise également qu’il sera peut-être impossible de remonter véritablement à l’origine de l’attaque même si « tout le monde fait des erreurs ». Le parquet de Paris a été saisi et on indique que c’est désormais la DCRI qui est en charge de l’enquête.




Autres News Malwares, Cyber Crime

Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 143916
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI