Bercy : sept cent millions de chinois et moi et moi

C’est toujours poilant d’observer des billes en informatique parler d’incidents de sécurité.

Rassurons-nous, ça marche dans tous les domaines. Paulo au Bar des amis qui l’autre jour commentait l’évolution des cours du pétrole avec les événements en Libye, est aussi un grand moment. Cette fois, c’est Bercy qui nous raconte que 100 à 150 des ordinateurs du ministère ont été la cible de la plus grosse attaque contre l’Etat français. Des pirates auraient installé des chevaux de Troie pour récupérer des documents liés au G20. Attention, FUD en formation.

Premier signe du mouvement de diffusion de Fear, Uncertainty and Doubt, l’information est sortie dans un journal dont chacun sait qu’il n’est pas un lieu de fréquentation des experts en informatique, encore moins en sécurité.

Deuxième signe, toute la presse, sans exception relaye le même message : « c’est grave » mais « pas trop ».
En clair, c’est une attaque de haut vol, coordonnée, qui a touché des ordinateurs contenant des informations sensibles (la préparation du G20) mais pas de données personnelles des contribuables.

Ouf, on a eu peur.

Cerise sur le gâteau, les chevaux de Troie envoient des données sur un serveur… chinois.

Aaaah, les Chinois… Après le péril rouge, le péril Al Qaida, le péril des cyber-terroristes qui vont arrêter toutes les infrastructures essentielles d’un pays d’un coup de cyber-byte magique… Voilà les Chinois. Ils sont très méchants, très forts, ils ont les yeux bridés… Bref, ils font peur ! Si en plus ils sont musulmans et qu’ils prient dans la rue, vous n’imaginez pas le carnage…

Mais revenons au souci de Bercy.

En matière de sécurité informatique, il est préférable de craindre ce dont on n’entend pas parler que de flipper à la lecture de ce qui apparaît dans la presse. Généralement, un piratage de haut vol passe inaperçu. Un truc bourrin sans envergure, ne passe pas inaperçu.

Dans le cas de Bercy, on peut, selon les bribes d’informations diffusées et en lisant entre les lignes (on y reviendra en détail ci-dessous), imaginer aisément qu’un fonctionnaire a été le maillon faible et à cliqué sur la mauvaise pièce-jointe. Paf, installation d’un minable énième cheval de Troie. Propagation. Découverte par hasard d’une sortie de paquets vers un serveur en Chine. Tout le monde grimpe au rideau, paranoïa évidente : les Chinois ont lancé une terrible opération d’espionnage. Mais qu’espionnent-t-il en fait ? Les positions de la France au G20 sont connues, Nicolas Sarkozy ayant fait de sa présidence du bidule un axe de relance personnelle. C’est donc un sujet sur-médiatisé. A moins qu’il y ait des choses que l’on nous cache ? (humour).

Dans tous les cas d’attaques informatiques ou de négligence caractérisée au sein d’une administration ou d’une entreprise, une fois l’affaire rendue publique, on assiste à un lâcher de « gadgetophrases » visant à minimiser la portée de l’incident. Ou à dédouaner les responsables. Bercy ne fait pas exception et les gadgetophrases ont fusé. On notera que l’Etat demande aux particuliers de sécuriser leurs « connexions à Internet » dans le cadre de la loi HADOPI mais n’est pas foutu de se prémunir contre un bête cheval de Troie. Dans le cas précis, il serait plus honnête de reconnaitre l’erreur manifeste des services informatiques du gouvernement qui sont clairement responsables d’une négligence, que d’agiter le chiffon jaune et de crier au loup pour détourner les regards des véritables responsables. En même temps, il suffit de lire la presse aujourd’hui ou d’écouter la radio pour voir que cela marche. J’ai même entendu un journaliste parler de Stuxnet, c’est dire si l’on avance vers des théories capilotractées.

Bref. Commençons par les déclaration de François Baroin, le ministre du budget, ce sont les plus drôles.

« On n’a pas encore de détails complets. Ce que l’on sait, c’est que l’ensemble des services nous ont alertés de la réalité d’un certain nombre de messages de gens qui étaient rentrés dans les boîtes mails, dans les serveurs ».

Décryptage : on a aucune idée de ce qui s’est passé mais… « gloubi-boulga ».

Gloubi-boulga ? Relisez bien : on nous a « alertés de la réalité d’un certain nombre de messages de gens qui étaient rentrés dans les boîtes mails, dans les serveurs ».

Qu’est-ce donc que des messages de gens qui sont rentrés dans les boites mails ? Mystère.

« Il y a eu des doutes et ensuite ça a été signalé.(…). L’opération de maintenance a été menée ce week-end »

Là, on atteint des sommets. Alors que l’on nous explique que cette attaque remonte à plus de deux mois, l’opération de maintenance a eu lieu ce week-end. On est pas pressés à Bercy quand on se rend compte d’une vaste opération de piratage… Un peu comme quand Reflets pose des questions sur l’identification des avoirs Libyens en France. Voilà au moins un sujet dont on ne parlera plus pendant un moment, le piratage informatique des machants Chinois étant bien plus important.

A la question de savoir d’où cette attaque provenait, François Baroin a répondu :

« il y a des pistes mais à ce stade, il est impossible de les confirmer ».

OMG… François a des pistes. Tremblez pirates, la maréchaussée est en route. Enfin… Dès qu’elle aura confirmé que derrière un serveur en Chine, il y a bien un pirate chinois. Ce qui est loin d’être évident. Enfin… Moins évident que de dire que derrière une IP française, il y a un français qui tue des artistes (HADOPI…).

François Baroin précise toutefois que:

« ce sont les informations autour du G20 qui intéressaient les hackers ».

Premier point, François, ce ne sont pas des hackers qui ont piraté ton réseau, mais des pirates. La langue française est riche et précise. Merci d’utiliser les bons termes pour une fois. Deuxième point, si François Baroin sait que ce sont des informations liées au G20 qui intéressaient les auteurs du piratage, c’est qu’il a des informations précises sur ce point.

Maintenant, analysons les déclarations de Patrick Pailloux, le directeur général de l’ANSSI (Agence nationale de la sécurité des systèmes d’information). Selon Paris-Match qui révèle cette sombre affaire de vérolage de postes Windows comme il y en a des millions chaque jour, il a admis que l’attaque visait, pour l’essentiel, des documents liés à la présidence française du G20 et aux affaires économiques internationales.

« Ceux qui ont agi sont des professionnels déterminés et organisés. C’est la première attaque contre l’Etat français de cette ampleur et à cette échelle ».

Ah, la belle gadgetophrase que voilà. On dirait l’ensemble de la presse et des politiques lorsque les sites phares de la nouvelle économie avaient été victime d’un ridicule DDoS aux plus belles heures de la bulle Internet.

« Depuis deux mois, entre 20 et 30 personnes de l’ANSSI travaillent jour et nuit sur cette affaire. Les hackers ont essayé d’attaquer d’autres ministères. Il y a peut-être des choses que nous n’avons pas vues, mais, à ma connaissance, seul Bercy a été touché ».

Intéressante déclaration à Paris-Match. Premier point, le patron de l’ANSSI ne sais pas exactement à un tiers près, combien de personnes de ses équipes travaillent sur le sujet. Deuxièmement, cela fait deux mois qu’ils y sont jour et nuit et visiblement, ils n’en savent pas beaucoup plus qu’au premier jour. Pire, des choses pourraient leur avoir échappé. Ca fout la trouille… Un peu.

La suite n’est pas plus rasurante :

« Une gigantesque opération de maintenance qui a concerné 12 000 postes de travail, sur les 170 000 que compte l’ensemble des services du ministère. Il s’agissait de renforcer nos politiques de sécurité »

D’une part, il est inquiétant de penser que seuls 17.000 postes sur 170.000 ont été concernés par l’opération de vérification. D’autre part, une politique de sécurité qui laisse un cheval de Troie s’installer et balancer des informations pendant plus de deux mois, c’est quoi? Une politique de d’insécurité ?
A ce propos, il serait intéressant de savoir quelle société était mandatée pour assurer la protection des petits secrets du ministère. Parce que passer à côté d’un cheval de Troie de ce genre, ce n’est pas ce que l’on peut appeler une réussite. HBGary peut-être ?

Twitter Facebook Google Plus email

Auteur: Antoine Champagne - kitetoa

Dinosaure du Net, journaliste à ses heures. A commis deux trois trucs (Kitetoa.com, Aporismes.com et Reflets.info).

12 thoughts on “Bercy : sept cent millions de chinois et moi et moi”

  1. Les Chinois ça m’a bien fait rire quand j’ai lu ça, mais il faut avouer un truc : le cheval de Troie dans le PDF, ça ressemble quand même à ce qu’ils avaient fait pour chopper des infos du groupe du Dalaï-Lama. Ça suppose probablement une 0-day qui peut être le fait d’un pirate ou d’un groupe anonyme mais ça ressemble à du bon gros pas très subtil gouvernement qui achète ça au marché noir parce qu’il en a besoin là-maintenant-tout-de-suite.

    Il y a des infos intéressantes dans les communications des ministres, G20 ou pas. Si on ne voit rien débarquer sur wikileaks avant peu, l’hypothèse du gouvernement étranger est pas non plus absurde.

    Bon, après c’est peut-être de la gesticulation ridicule sur un vieux ver à la Ana Kournikova, C’est vrai qu’on aimerait en savoir un peu plus… et que les politique apprennent au moins le sens des mots qu’ils utilisent, mais c’est beaucoup demander…

  2. Très bon article qui met le doigt sur les élements que j’avais déjà noté :
    – Paris Match : non mais franchement… bientôt une analyse de la crise en libye dans penthouse…
    – Les politiques en disent beaucoup pour ne rien dire (enfin c’est pas nouveau…) : gloubi boulga (je l’adore celle-là)
    – théories fumeuses : et si c’était simplement le cheval de troie à deux balles qui s’est propagé sur… un nombre incroyable de postes… c’est à dire 150… et ça leur a pris 2 à 3 mois pour désinfecter (tout ceux qui ont désinfecté un réseau d’entreprises rigolerons bien)

  3. Qu’un ministre ne fasse pas la distinction entre pirate et hacker,
    passe encore. Après tout même un ministre de l’agriculture n’a pas
    besoin de connaître la surface d’un hectare. Mais que le Directeur de
    l’Agence nationale de la sécurité des systèmes d’information fasse le
    même amalgame ça montre que lesdits système d’information ne sont pas
    prêts d’être sécurisés…

  4. Très bon article.

    Mais perso, je ne doute pas que Pailloux fasse bien la différence entre hackers et pirates. Les médias sont encore très attachés dans ce domaine à des termes creux mais ronflants et à donner dans le sensationnalisme. Pailloux les a reçu 5 sur 5 et leur a donné ce qu’ils veulent. Bien joué. Depuis juillet 2009 et la création officielle de l’ANSSI, il courre les séminaires, les rencontres, les magazines pour faire avancer l’action de son institution : il était donc rodé pour prendre en main cette communication de crise. Et c’était facile de le faire en mettant derrière lui des dirigeants qui ne sont qu’une poignée à avoir intégrer les implications de la dimension numérique de ce 21e siècle.

  5. Dans cet article, je note que la personne ne connait strictement rien à cette affaire et semble donner des leçons.
    Mais si vous avez des solutions pour identifier tout code malveillant dans un PDF, contactez d’urgence Adobe qui vous offrira un bon million de $ dès que le brevet sera déposé !
    La critique est facile mais l’art est difficile…

  6. Une gigantesque opération de maintenance qui a concerné 12 000 postes de travail, sur les 170 000 que compte l’ensemble des services du ministère. Il s’agissait de renforcer nos politiques de sécurité

    Je sens que je vais voir moins d’IE6 dans mes logs.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *