Bercy : sept cent millions de chinois et moi et moi

Rassurons-nous, ça marche dans tous les domaines. Paulo au Bar des amis qui l'autre jour commentait l'évolution des cours du pétrole avec les événements en Libye, est aussi un grand moment. Cette fois, c'est Bercy qui nous raconte que 100 à 150 des ordinateurs du ministère ont été la cible de la plus grosse attaque contre l'Etat français. Des pirates auraient installé des chevaux de Troie pour récupérer des documents liés au G20. Attention, FUD en formation.

Premier signe du mouvement de diffusion de Fear, Uncertainty and Doubt, l'information est sortie dans un journal dont chacun sait qu'il n'est pas un lieu de fréquentation des experts en informatique, encore moins en sécurité.

Deuxième signe, toute la presse, sans exception relaye le même message : "c'est grave" mais "pas trop". En clair, c'est une attaque de haut vol, coordonnée, qui a touché des ordinateurs contenant des informations sensibles (la préparation du G20) mais pas de données personnelles des contribuables.

Ouf, on a eu peur.

Cerise sur le gâteau, les chevaux de Troie envoient des données sur un serveur... chinois.

Aaaah, les Chinois... Après le péril rouge, le péril Al Qaida, le péril des cyber-terroristes qui vont arrêter toutes les infrastructures essentielles d'un pays d'un coup de cyber-byte magique... Voilà les Chinois. Ils sont très méchants, très forts, ils ont les yeux bridés... Bref, ils font peur ! Si en plus ils sont musulmans et qu'ils prient dans la rue, vous n'imaginez pas le carnage...

Mais revenons au souci de Bercy.

En matière de sécurité informatique, il est préférable de craindre ce dont on n'entend pas parler que de flipper à la lecture de ce qui apparaît dans la presse. Généralement, un piratage de haut vol passe inaperçu. Un truc bourrin sans envergure, ne passe pas inaperçu.

Dans le cas de Bercy, on peut, selon les bribes d'informations diffusées et en lisant entre les lignes (on y reviendra en détail ci-dessous), imaginer aisément qu'un fonctionnaire a été le maillon faible et à cliqué sur la mauvaise pièce-jointe. Paf, installation d'un minable énième cheval de Troie. Propagation. Découverte par hasard d'une sortie de paquets vers un serveur en Chine. Tout le monde grimpe au rideau, paranoïa évidente : les Chinois ont lancé une terrible opération d'espionnage. Mais qu'espionnent-t-il en fait ? Les positions de la France au G20 sont connues, Nicolas Sarkozy ayant fait de sa présidence du bidule un axe de relance personnelle. C'est donc un sujet sur-médiatisé. A moins qu'il y ait des choses que l'on nous cache ? (humour).

Dans tous les cas d'attaques informatiques ou de négligence caractérisée au sein d'une administration ou d'une entreprise, une fois l'affaire rendue publique, on assiste à un lâcher de "gadgetophrases" visant à minimiser la portée de l'incident. Ou à dédouaner les responsables. Bercy ne fait pas exception et les gadgetophrases ont fusé. On notera que l'Etat demande aux particuliers de sécuriser leurs "connexions à Internet" dans le cadre de la loi HADOPI mais n'est pas foutu de se prémunir contre un bête cheval de Troie. Dans le cas précis, il serait plus honnête de reconnaitre l'erreur manifeste des services informatiques du gouvernement qui sont clairement responsables d'une négligence, que d'agiter le chiffon jaune et de crier au loup pour détourner les regards des véritables responsables. En même temps, il suffit de lire la presse aujourd'hui ou d'écouter la radio pour voir que cela marche. J'ai même entendu un journaliste parler de Stuxnet, c'est dire si l'on avance vers des théories capilotractées.

Bref. Commençons par les déclaration de François Baroin, le ministre du budget, ce sont les plus drôles.

"On n'a pas encore de détails complets. Ce que l'on sait, c'est que l'ensemble des services nous ont alertés de la réalité d'un certain nombre de messages de gens qui étaient rentrés dans les boîtes mails, dans les serveurs".

Décryptage : on a aucune idée de ce qui s'est passé mais... "gloubi-boulga".

Gloubi-boulga ? Relisez bien : on nous a "alertés de la réalité d'un certain nombre de messages de gens qui étaient rentrés dans les boîtes mails, dans les serveurs".

Qu'est-ce donc que des messages de gens qui sont rentrés dans les boites mails ? Mystère.

"Il y a eu des doutes et ensuite ça a été signalé.(...). L'opération de maintenance a été menée ce week-end"

Là, on atteint des sommets. Alors que l'on nous explique que cette attaque remonte à plus de deux mois, l'opération de maintenance a eu lieu ce week-end. On est pas pressés à Bercy quand on se rend compte d'une vaste opération de piratage... Un peu comme quand Reflets pose des questions sur l'identification des avoirs Libyens en France. Voilà au moins un sujet dont on ne parlera plus pendant un moment, le piratage informatique des machants Chinois étant bien plus important.

A la question de savoir d'où cette attaque provenait, François Baroin a répondu :

"il y a des pistes mais à ce stade, il est impossible de les confirmer".

OMG... François a des pistes. Tremblez pirates, la maréchaussée est en route. Enfin... Dès qu'elle aura confirmé que derrière un serveur en Chine, il y a bien un pirate chinois. Ce qui est loin d'être évident. Enfin... Moins évident que de dire que derrière une IP française, il y a un français qui tue des artistes (HADOPI...).

François Baroin précise toutefois que:

"ce sont les informations autour du G20 qui intéressaient les hackers".

Premier point, François, ce ne sont pas des hackers qui ont piraté ton réseau, mais des pirates. La langue française est riche et précise. Merci d'utiliser les bons termes pour une fois. Deuxième point, si François Baroin sait que ce sont des informations liées au G20 qui intéressaient les auteurs du piratage, c'est qu'il a des informations précises sur ce point.

Maintenant, analysons les déclarations de Patrick Pailloux, le directeur général de l’ANSSI (Agence nationale de la sécurité des systèmes d’information). Selon Paris-Match qui révèle cette sombre affaire de vérolage de postes Windows comme il y en a des millions chaque jour, il a admis que l’attaque visait, pour l’essentiel, des documents liés à la présidence française du G20 et aux affaires économiques internationales.

"Ceux qui ont agi sont des professionnels déterminés et organisés. C’est la première attaque contre l’Etat français de cette ampleur et à cette échelle".

Ah, la belle gadgetophrase que voilà. On dirait l'ensemble de la presse et des politiques lorsque les sites phares de la nouvelle économie avaient été victime d'un ridicule DDoS aux plus belles heures de la bulle Internet.

"Depuis deux mois, entre 20 et 30 personnes de l’ANSSI travaillent jour et nuit sur cette affaire. Les hackers ont essayé d’attaquer d’autres ministères. Il y a peut-être des choses que nous n’avons pas vues, mais, à ma connaissance, seul Bercy a été touché".

Intéressante déclaration à Paris-Match. Premier point, le patron de l'ANSSI ne sais pas exactement à un tiers près, combien de personnes de ses équipes travaillent sur le sujet. Deuxièmement, cela fait deux mois qu'ils y sont jour et nuit et visiblement, ils n'en savent pas beaucoup plus qu'au premier jour. Pire, des choses pourraient leur avoir échappé. Ca fout la trouille... Un peu.

La suite n'est pas plus rasurante :

"Une gigantesque opération de maintenance qui a concerné 12 000 postes de travail, sur les 170 000 que compte l'ensemble des services du ministère. Il s’agissait de renforcer nos politiques de sécurité"

D'une part, il est inquiétant de penser que seuls 17.000 postes sur 170.000 ont été concernés par l'opération de vérification. D'autre part, une politique de sécurité qui laisse un cheval de Troie s'installer et balancer des informations pendant plus de deux mois, c'est quoi? Une politique de d'insécurité ? A ce propos, il serait intéressant de savoir quelle société était mandatée pour assurer la protection des petits secrets du ministère. Parce que passer à côté d'un cheval de Troie de ce genre, ce n'est pas ce que l'on peut appeler une réussite. HBGary peut-être ?