Le directeur général de l’ANSSI confirme l’ampleur d’une attaque d’espionnage informatique et admet que Bercy n’était pas seul visé.
La conférence de presse, hier après-midi, dans les locaux de l’Agence Nationale pour la Sécurité des Systèmes d’Information avait pour but de « faire prendre conscience aux entreprises publiques comme privées de la réalité et de la gravité de la menace. Les entreprises sont parfois frileuses et peu conscientes du niveau de risque en ce domaine. Nous pensons que le fait de communiquer va contribuer à la sensibilisation en ce domaine. »
L’attaque visant 150 ordinateurs de Bercy est bien la plus importante jamais enregistrée par une administration française. D’autres cibles travaillant sur le G20 ont également été visées mais cela n’a pas abouti.
Il est précisé que l’information a été découverte au début du mois de janvier 2011. Les premiers soupçons sont arrivés après qu’une personne ait soit disant émis un mail alors qu’elle prétendait ne pas l’avoir fait. C’est ainsi que les services ont découvert qu’un attaquant se faisait passer pour cette personne. Dès lors, les personnes en charge de la sécurité informatique à Bercy et à l’ANSSI se sont rendu compte de l’importance et du professionnalisme de l’attaque. Il ne s’agit en effet pas d’une attaque provenant d’un réseau amateur, l’opération a été mise en place par des professionnels, déterminés et particulièrement bien organisés.
Espionnage politique et économique
Depuis la découverte de l’attaque, 4 types d’actions ont été menées avec Bercy et les services de police. La première consistait à comprendre techniquement et en profondeur ce qu’il s’était passé, la deuxième à voir quelle était l’étendue de l’attaque, la troisième consistait à la bloquer, et enfin, la dernière, à re-sécuriser le réseau informatique de Bercy. Près de 200 personnes ont travaillés là-dessus.
La cible visée était la politique économique du pays à l’échelle internationale et les documents relatifs au G20. L’ANSSI reste discrète sur les moyens utilisés afin de ne pas donner d’indications aux pirates. Il s’agirait d’une combinaison de virus et chevaux de Troie que les anti-virus n’auraient pas détectés. Il ne s’agirait visiblement pas de failles de types zero-day. Des failles non corrigées sur certains postes de Bercy ont pu être exploitées pour l’attaque. Une pièce jointe infectée serait la source de l’infection et aurait permis aux pirates de prendre le contrôle total de certains postes, y compris de leurs messageries.
L’origine de l’attaque
En ce qui concerne l’origine de cette attaque, hormis le fait qu’elle est de dimension internationale, il est impossible de déterminer avec précision d’où elle vient. Des ordinateurs ont servi cette attaque partout dans le monde mais il semble que l’Asie reste la destination privilégiée. Elle ressemble de près à l’attaque dont le Canada a été victime il y a quelques semaines, mais il sera tout de même très sûrement impossible de déterminer avec précision son origine.