L’attaque de Bercy : « Un mal pour un bien » selon Check Point

Christophe Lagane,

L’attaque de 150 postes clients du ministère de l’Economie démontre les failles de sécurité, humaines ou applicatives, auxquelles n’échappent pas les grands comptes face à des organisations criminelles bien organisées.

Qui sont-ils? Impossible à dire pour l’heure. Mais tous les regards se tournent vers la Chine. « Les flux remontent vers la Chine, confirme le responsable technique, mais cela ne signifie pas que les attaques proviennent bien d’organisation chinoises, il y a peut-être un rebond des flux vers des serveurs installés ailleurs. » Néanmoins, le Canada a connu la même mésaventure en provenance de la province asiatique, six mois plus tôt, également à l’occasion de la préparation du G20, bien qu’aucune preuve n’ait été établie, publiquement du moins.

Dans ce cadre, la révélation de l’affaire par la presse est dommageable selon Thierry Karsenti. « Maintenant que l’affaire est publique, les services de Bercy vont avoir du mal à pister les attaquants qui ont probablement effacé toutes leurs traces à l’heure qu’il est. » Outre la publicité sur l’attaque, Bercy a en effet déconnecté quelques 10.000 postes clients de son réseau (12.000 selon Paris-Match) pour les mettre à jour (restauration système à une date antérieure à l’attaque ou application des correctifs. Ce qui révèle « une logique de panique. 10.000 postes déconnectés sur 170.000 [que compte le ministère] montre qu’il y a un risque de propagation forte et donc, la présence de vulnérabilités applicatives ou système exploitées pour la propagation ».

Une sécurisation difficile à mettre en oeuvre dans les grandes administrations

Sans parler des risques de propagation vers les systèmes d’information des autres ministères. Selon Patrick Pailloux, directeur de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), les pirates auraient tenté d’attaquer d’autres ministères mais l’Elysée et Matignon seraient épargnés. Le porte-parole de l’Anssi a néanmoins déclaré que « C’est la première attaque contre l’Etat français de cette ampleur et à cette échelle ».

Une telle attaque aurait-elle pu être évitée? Au premier chef en évitant d’ouvrir naïvement les pièces jointes aux e-mails. « Cela nécessite des pistes d’éducation du personnel, des filtres de messagerie et la surveillance des flux d’activité sur le réseau, etc., un certain nombre d’éléments qui peuvent permettre de deviner les alertes, propose le responsable technique. Mais c’est très compliqué à faire vivre dans les grandes entreprises et administrations. » L’attaque de Bercy constitue dans ce cadre « un mal pour un bien » car elle « peut aider à la prise de conscience collective et débloquer des budgets malgré la tendance à la réduction budgétaire ». Une prise de conscience néanmoins un peu tardive…