« L’usage généralisé des technologies de l’information et de la communication ainsi que l’utilisation croissante des réseaux dans le fonctionnement de la société font de la prévention et de la réaction face aux attaques informatiques une priorité majeure de nos dispositifs de sécurité nationale », explique le gouvernement français, pour annoncer la création par décret publié le 7 juillet dernier, de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Le Livre blanc sur la défense et la sécurité nationale publié en juin 2008 retenait les attaques informatiques parmi les menaces principales pesant sur le territoire national. Le président Nicolas Sarkozy, en présentant ce plan-cadre pour les quinze prochaines années, avait annoncé que la France se doterait de « capacités défensives et offensives » dans le domaine de la sécurité informatique...
Extrait du Livre blanc : « Les moyens d’information et de communication sont devenus les systèmes nerveux de nos sociétés, sans lesquels elles ne peuvent plus fonctionner. Or le “cyberespace”, constitué par le maillage de l’ensemble des réseaux, est radicalement différent de l’espace physique : sans frontière, évolutif, anonyme, l’identification certaine d’un agresseur y est délicate. »
« La menace est multiforme : blocage malveillant, destruction matérielle (par exemple, de satellites ou d’infrastructures de réseau névralgiques), neutralisation informatique, vol ou altération de données, voire prise de contrôle d’un dispositif à des fins hostiles.
Dans les quinze ans à venir, la multiplication des tentatives d’attaques menées par des acteurs non étatiques, pirates informatiques, activistes ou organisations criminelles, est une certitude. Certaines d’entre elles pourront être de grande ampleur… »
Le Livre blanc recommandait d’étendre les moyens et pouvoirs de l’ancienne direction chargée de la sécurité informatique (DCSSI), créée en 2001, décrite par le rapport du sénateur Roger Romani (« Cyberdéfense : un nouvel enjeu de sécurité nationale », juillet 2008) comme manquant de crédibilité. La nouvelle agence, dont les effectifs atteindront 250 agents en trois ans, commencerait à être opérationnelle à partir d’octobre prochain, avec une montée en puissance sur plusieurs années.
Placée comme l’ancienne direction, sous l’autorité du Secrétariat général de la défense nationale (Sgdn), qui dépend du premier ministre – ce qui n’est pas, selon le rapport Romani, un gage suffisant d’autorité – la nouvelle agence aura notamment pour mission de :
détecter et réagir au plus tôt en cas d’attaque informatique, grâce à un centre de détection chargé de la surveillance permanente des réseaux sensibles et de la mise en œuvre de mécanismes de défense adaptés aux attaques ;
prévenir la menace : l’agence contribuera au développement d’une offre de produits de très haute sécurité ainsi que de produits et services de confiance pour les administrations et les acteurs économiques ;
jouer un rôle de conseil et de soutien aux administrations et aux opérateurs d’importance vitale ;
informer régulièrement le public sur les menaces : le site Internet gouvernemental de la sécurité informatique étant appelé à devenir le portail de référence en matière de sécurité des systèmes d’informations.
L’ANSII s’appuiera principalement sur les outils existants : le centre opérationnel de sécurité des systèmes d’information (COSSI) , dont les analyses – à partir d’un grand nombre de cas réels – « mettent en évidence le professionnalisme et le savoir-faire croissant des concepteurs de ces attaques ; et une accélération de la production de codes malveillants exploitant les vulnérabilités découvertes sur les systèmes ». Et le Centre d’expertise gouvernemental de réponse et de traitement des attaques informatiques (CERTA), chargé d’une veille 24 heures sur 24, et d’une prestation d’analyse portant sur les attaques identifiées, ainsi que sur les méthodes pour les contrer.
Perquisitions informatiques
Il pourrait y avoir du grain à moudre … Exemple : selon la lettre Intelligence On Line, des réseaux informatiques du ministère français de la Défense avaient été infectés en janvier par un virus dénommé Conficker, au point d’immobiliser certains systèmes d’armes, notamment les Rafale de l’aéronavale. Ce que JPG commente en ces termes dans son blog : « Point de complot ourdi spécialement contre l’Armée Française : Conficker s’est tout simplement introduit sur Intramar au moyen d’une clé USB infectée. C’est donc directement une imprudence d’origine humaine qui est à l’origine de cette “attaque”. Mais on peut s’étonner que l’Armée Française soit aussi dépendante de Windows de Microsoft pour ses systèmes d’information, alors que des alternatives Open Source crédibles existent (et que les initiatives du Ministère de la Défense en ce sens se font de plus en plus nombreuses)… Tout ceci pose de sérieuses questions sur le niveau réel de sécurité des réseaux informatiques militaires français, et leur capacité à faire face à des attaques autrement plus malveillantes ».
Ce qu’un autre observateur traduisait un peu plus brutalement : « Comment est-il possible qu’une fonction aussi critique que le réseau informatique de la Marine nationale dépende d’un système d’exploitation propriétaire fourni par une firme étrangère ? Et qu’on ait choisi un système d’exploitation à la réputation sécuritaire plus que douteuse, et dont il est impossible de relire le code source pour le vérifier ou l’améliorer ? ». A quoi certains répondent que, si le système Windows est si attaqué, c’est parce qu’il fait tourner les neuf dixièmes du parc ordinateur mondial ; et qu’au moins, il assure une grande interopérabilité entre les réseaux. Les amateurs pourront suivre le débat surgi à la suite de cet incident sur le blog d’un confrère.
Le rapport Romani de juillet 2008 concluait que la France « ne dispose pas de véritable capacité de surveillance et de détection des attaques informatiques », et recommandait la définition d’un cadre juridique et d’une doctrine d’emploi pour l’utilisation future d’outils offensifs, comme les « perquisitions informatiques », les « armes numériques de réseaux », ou les « laboratoires technico-opérationnels ». Roger Romani estimait que la nouvelle agence devrait être en mesure :
d’imposer aux administrations une réduction du nombre de leurs passerelles vers l’internet ;
de désigner les produits de haute sécurité que les administrations devront obligatoirement utiliser pour les réseaux les plus sensibles ;
de rendre obligatoire l’adoption par les administrations, pour leurs réseaux sensibles, ainsi que par les opérateurs d’importance vitale, de dispositifs garantissant la continuité du service en cas d’attaque majeure, sous la forme par exemple de systèmes redondants ...
Systèmes interconnectés
De son côté, la commission européenne a esquissé en mars 2009 les grandes lignes d’une stratégie de prévention et de lutte contre les cyber-attaques. Relevant que les infrastructures de communication sous-tendent le fonctionnement de secteurs essentiels, qui vont de la distribution d’énergie et de la fourniture d’eau aux transports, à la finance et à d’autres services d’importance cruciale ; que 93 % des entreprises de l’union et 51 % des citoyens européens ont utilisé l’internet de manière active en 2007, et que des cyber-attaques de grande envergure lancées récemment contre l’Estonie [1], la Lituanie ou la Géorgie ont bien montré que les services et réseaux de communications électroniques essentiels étaient constamment menacés, la commission plaide pour une meilleure coordination inter-Etats : les systèmes numériques vitaux étant souvent interconnectés, la sécurité des infrastructures d’un pays dépend largement des niveaux de protection adoptés hors de ses frontières, explique-t-elle.
Mais, à la lecture en creux de ses recommandations, on comprend que tout, ou presque, reste à faire :
Préparation et prévention : favoriser la coopération, les échanges d’informations et le transfert de bonnes pratiques entre États membres dans le cadre d’un forum européen et établir un Partenariat public privé européen pour la résilience, qui aidera les entreprises et le secteur public à mettre en commun leur expérience et leurs informations.
Détection et réaction : soutenir le développement d’un système européen de partage d’information et d’alerte.
Atténuation et récupération : renforcer la coopération entre États membres grâce à des plans nationaux et multinationaux en cas d’urgence et organiser régulièrement des exercices.
Coopération internationale : susciter un débat de dimension européenne pour définir les priorités de l’UE en ce qui concerne la stabilité et la résilience à long terme de l’internet..
Établissement de critères pour les infrastructures critiques européennes dans le secteur des TIC, les critères et les approches variant actuellement selon les États membres.
Guerre froide sur le Web
Depuis le sommet de Prague ( 2002), et encore plus depuis l’attaque par saturation des systèmes estoniens, l’Otan est sensible au thème de la cyberdéfense, à commencer par la protection de ses propres systèmes d’information et de communication, comme nous avons pu le constater lors d’une visite en février au siège de l’organisation, à Bruxelles-Evere.
Des agents de surveillance, qui appartiennent pour la plupart à des prestataires privés, procèdent périodiquement au « nettoyage » des locaux sensibles, grâce à des contre-mesures : balayages de fréquences pour localiser des dispositifs d’écoute illégaux dans les meubles, murs ou plafonds ; détection des sources infrarouges, contrôle des ondes wi-fi, test des installations électriques, utilisation de générateurs de bruits pour le brouillage de microphones non autorisés. Les téléphones mobiles sont interdits dans les salles de conférences où l’on débat des informations classifiées. Dans la zone dite « de sécurité », la plus protégée, les portables doivent être déclarés et régulièrement contrôlés, de même que les ordinateurs.
La « Branche sécurité de protection » demande aux agents de l’Otan de s’assurer que le logiciel antivirus sur leur ordinateur est activé et actualisé, de n’utiliser que les supports informatiques officiels du siège, avec un encodage couleur pour les divers niveaux de classification des dossiers, fichiers ou boîtes aux lettres, et des droits d’accès correspondants. Il est recommandé de n’utiliser la messagerie électronique ou l’intranet que dans des cas limités, et de recourir à des mots de passe « forts », à la fois difficiles à deviner et faciles à retenir : préférer par exemple « E12&J’af » à « Il est midi et j’ai faim »…
Il est surtout demandé de signaler sans délai tout incident « infosec » au Bureau de sécurité (Nos) ou à l’officier de sécurité de division, « y compris tout signe d’utilisation frauduleuse d’un ordinateur ou d’infraction de sécurité, ainsi que tout comportement inhabituel ou inattendu ». Autre recommandation, valable surtout à domicile : ne pas laisser l’ordinateur connecté s’il n’est pas utilisé, et soigneusement verrouiller son réseau sans fil pour éviter tout piratage.
Très à cheval sur la question de la sécurité informatique, l’Otan – entièrement dépendante de l’architecture logicielle Microsoft – pourrait contraindre prochainement l’armée française, pleinement réintégrée depuis cette année au commandement militaire de l’organisation, à renoncer à l’utilisation du système « libre » Linux, en usage notamment dans la gendarmerie …
Assistance rapide
Dans sa recommandation n° 831, adoptée en juin dernier, l’ assemblée de l’Union de l’Europe occidentale (UEO) souhaite que l’Union européenne « mette en œuvre le concept de l’Otan de cyberdéfense, et encourage l’échange d’information entre EU et Otan, ainsi que la mise en place de mécanismes d’assistance rapide entre Etats en cas de cuberattaques systémiques multisectorielles sur un ou plusieurs Etats alliés ».
Il y a quelques semaines, selon RIA Novosti, le chef adjoint de l’état-major général des forces armées russes, le gal. Anatoli Nogovitsyne, déclarait que « les pays les plus développés du monde auront d’ici deux ou trois ans la possibilité de mener de véritables guerres de l’information », avec pour principaux objectifs de « perturber le fonctionnement des systèmes de défense, industriels et administratifs clefs de l’ennemi », et d’obtenir « un impact info-psychologique sur sa population, ses troupes et sa direction, avec recours aux technologies de l’information modernes ».
En Grande-Bretagne, racontait la BBC, un fonctionnaire du cabinet du premier ministre perdait en juin 2008 dans un train des dossiers contenant des rapports de services de renseignement, avec des données ultra-sensibles, relatives notamment au réseau Al Quaeda.
Plus récemment, commente « gardony » sur ce blog (7 juillet), « la Sécurité Sociale britannique égare les données personnelles de 200 000 usagers, puis un ministre se fait photographier avec un dossier sensible sous le bras, puis un autre dossier est retrouvé sur le trottoir, puis le futur patron du MI6, etc. Sans compter Javier Solana reconnaissant avoir été espionné une dizaine de fois via son PC. Je veux bien qu’il y ait menace, mais tout de même, il faudrait aussi que les dirigeants soient un peu moins ingénus avec les nouvelles technologies », relève notre internaute. Le gouvernement britannique vient d’ailleurs de décider, lui aussi, de se doter d’une agence de sécurité informatique.
Notes
[1] En 2007, après des cyber-attaques de grande envergure, le Parlement estonien avait dû mettre son système de courrier électronique à l’arrêt pendant 12 heures, et les deux plus grandes banques d’Estonie avaient été contraintes d’interrompre leurs services en ligne.
mercredi 15 juillet 2009, par Philippe Leymariepermalink
Aucun commentaire:
Enregistrer un commentaire