Cyberguerre : les attaques se multiplient, l’armée française s’entraine
« Personne ne sait vraiment ce qui se passe en ligne »
La semaine dernière s'est tenu un exercice interarmées sur la question des cyberattaques : Defnet 2014. Arnaud Coustillière, contre-amiral et officier général à la Cyberdéfense, s'explique sur le but de cette manoeuvre, tandis qu'Alain Juillet, ex-directeur de la DGSE, évoque les questions de cybersécurité dans le « Cloud ». Deux approches pour un même problème de fond, la « Cyberguerre », alors que la DGA (Direction Générale de l'Armement) vient tout juste de poser la pierre d'un nouveau bâtiment de 10 000 m² dédié au « cyber ».
Il ne se passe quasiment plus une semaine sans qu'une affaire de cyberattaque ne remonte à la surface, que des pirates ou des gouvernements en soient à l'origine. Depuis le début de l'année, la France n'est pas épargnée avec le double piratage d'Orange par exemple. Mais il faut rappeler que seuls les opérateurs et FAI ont une obligation de communications en pareille circonstance.
Le cas des autres sociétés est à l'étude et le G29 (groupement des CNIL européennes) planche sur la question. À l'étranger, la situation n'est guère plus reluisante avec des fuites de données pour Home Depot, eBay, Avast, mais également les photos de stars volées et très récemment l'affaire JPMorgan.
Et si le piratage de JPMorgan n'était que la partie visible de l'Iceberg ?
Le cas de cette dernière est d'ailleurs intéressant à plus d'un titre. Tout d'abord parce qu'il s'agit de l'une des plus grosses banques d'affaires des États-Unis et qu'elle a pignon sur rue dans de très nombreux États. De plus, le temps de réaction aurait été assez long puisque les pirates seraient restés près d'un mois dans les serveurs de la banque. La société n'a toutefois ni confirmé ni démenti cette information.
Mais cette intrusion pourrait n'être que la partie visible de l'Iceberg. En effet, selon le New York Times qui cite des sources proches du dossier, neuf autres institutions financières auraient été victimes du même groupe de pirates qui, selon des rumeurs persistantes, agirait depuis la Russie.
Nos confrères de l'AFP indiquent ainsi que plusieurs enquêtes ont été ouvertes par différents organismes outre-Atlantique, suite à l'annonce de la fuite de données de pas moins de 83 millions de comptes. « C'est parmi les attaques informatiques les plus troublantes et pas seulement à cause de son ampleur, mais parce qu'elle prouve qu'il n'y a quasiment aucune base de données qui ne peut être attaquée par des cybercriminels », indique ainsi Lisa Madigan, procureure de l'État de l'Illinois. Elle ajoute que la banque serait en train de « d'essayer de minimiser » l'étendue de l'attaque.
Quid de la sécurité des entreprises ?
Alain Juillet, ancien directeur de la DGSE en 2002/2003 et responsable de la cellule SGDN (Secrétariat de la Défense Nationale) de Matignon, tient à peu près le même discours que Mme Lisa Madigan concernant les cyberattaques. Alors qu'il est désormais président du CDSE (Club des Directeurs de Sécurité des Entreprises), il a été en effet interviewé par nos confrères des Echos : « les dirigeants d’entreprises ne sont pas prêts, même si on constate des avancées depuis quelques années. Il y a trente ans, il fallait protéger le patrimoine humain et le matériel, sécuriser les entrepôts et les bureaux. On maîtrisait. Avec le numérique et le cyberespace, tout est possible. On est entré dans un autre monde ».
C'est d'ailleurs un des principaux problèmes de la cybersécurité pour les entreprises : repenser son système informatique et allouer des ressources à ce poste qui peut rapidement devenir coûteux, tout en ne permettant pas de garantir une sécurité à 100 %. Alain Juillet ajoute qu'un « piratage peut coûter entre 5 et 10 % du chiffre d’affaires annuel ! Un tel risque, cela devrait faire réfléchir », mais trop de dirigeants ne se posent visiblement la question qu'une fois que le mal est fait, trop tard donc. Afin de bien faire passer le message, il cite une phrase « choc » de Patrick Pailloux, directeur technique de la DGSE et ancien directeur général de l'ANSSI : « Quand un patron informatique me dit qu’il ne s’est jamais fait attaquer, c’est soit qu’il est menteur soit qu’il est incompétent ».
Patrick Pailloux
Le cas du matériel étranger (américain/chinois) et la grande question du « Cloud »
Selon Alain Juillet, il faut également se méfier de la provenance du matériel utilisé : « tout ce qui passe par des systèmes d’origine américaine peut être intercepté. C’est la même chose avec le matériel chinois. Pour certaines activités, pas de problème. Pour d’autres… » C'est d'ailleurs un point qui avait poussé à la création d'un « Cloud souverain » il y a maintenant deux ans. Il ajoute que « personne ne sait vraiment ce qui se passe en ligne », reprenant ainsi un message que veut faire passer le film Sex Tape.
Le SGDN (Secrétariat Général de la Défense et de la Sécurité Nationale) vient d'ailleurs de publier un article -Vers une souveraineté numérique- abondant en ce sens : « les révélations d’Edward Snowden ont montré avec quel raffinement des agences de renseignement pratiquent l’espionnage technique en piégeant des matériels ou des logiciels informatiques du commerce ».
Afin de répondre à cette « menace majeure », le gouvernement développe « une offre nationale dans le domaine de la sécurité des systèmes d’information ». Le SGDN ajoute que « s’il est illusoire de vouloir redévelopper les composants des infrastructures qui portent le cyberespace, il est possible de se fixer pour objectif de maîtriser certaines technologies, comme les moyens de chiffrement, les sondes de détection d’attaque et certains équipements présents au cœur des réseaux de communication numérique ».
Quand on reparle du « Patriot Act à la Française »
Le thème en question nous replonge directement dans le fameux article 13 (devenu ensuite l'article 20) de la loi de programmation militaire adopté fin 2013. Pour rappel, il a pour but de créer un « Patriot Act à la Française ». Comment ? En ouvrant à de nombreuses administrations le droit de communication sur tous les « documents » et « informations » qui transitent via les opérateurs, ce qui va largement au-delà des simples métadonnées. Une puissance intrusive qui n’est pas sans soulever quelques questions, notamment après les affaires liées à la NSA.
Pour Allain Juillet, une solution intéressante pourrait être mise en place en suivant l'exemple d'un pays : « il faudrait créer davantage de liens entre les start-up et l’État. Comme peut le faire Israël : leurs jeunes experts font leur service militaire dans les services cyberdéfense ou cyberattaque de l’armée, puis ils financent ceux qui veulent monter leur start-up ». Reste qu'avec la journée citoyenne ce n'est pas gagné... et même à l'époque du service militaire, les compétences informatiques des jeunes n'étaient que trop rarement exploitées à leur juste valeur.
L'accord « safe harbor » avec les États-Unis remis en question
Concernant les citoyens, leur vie ainsi que leurs données privées des actions sont également menées. Il est ainsi question de « renégocier l’accord dit « safe harbor » entre I’UE et les Etats-Unis qui n’offre pas de garanties suffisantes en matière de protection des données lorsque celles-ci sont envoyées à des sociétés privées américaines ».
Un point de vue que partage également Andrus Ansip, futur commissaire européen au marché numérique. En effet, EurActiv rapporte que lors de son audition du 6 octobre, il tenait le discours suivant : « nous devons protéger la vie privée de chacun. La protection des données constituera une des clés de voûte du marché numérique. Les citoyens doivent avoir confiance en ce projet ». De fait, il n'exclut pas de suspendre l'accord sur la sphère de sécurité (safe harbor) avec les États-Unis : « La sphère de sécurité n'est pas sûre. L'accord n'est pas à la hauteur de ses ambitions » indique-t-il.
Mais ce n'est pas la seule voix provenant du parlement, on se souviendra que Věra Jourová, commissaire à la justice, tenait le même discours dans sa lettre de mission publiée début septembre. Si l'on remonte un peu plus loin, c'était une partie du Parlement européen qui remettait en question le « safe harbor ».
Defnet 2014 : La France vient de réaliser un exercice de cyberattaque
Mais la protection des services informatiques et des données personnelles n'est pas le seul angle à prendre en compte dans cette « Cyberguerre ». En effet, une cyberattaque peut également être mise en place par un pays contre un ennemi par exemple, ou à des fins de surveillance. Le cas de la NSA est d'ailleurs emblématique.
La France n'est pas en reste dans ce domaine et vient de terminer un exercice interarmées : Defnet 2014. Le ministère de la Defense explique que « l’exercice Defnet est, le premier du genre, est particulièrement innovant de par son caractère global. Il permet d’entraîner nos forces spécialisées depuis le niveau le plus bas jusqu’au niveau du commandement des opérations cyber ».
On apprend également que les objectifs sont à double sens : « d’une part, dans ses aspects opérationnels, qui sont d’entraîner les joueurs à la gestion de crise cyber et au déploiement de groupes d’intervention rapide (GIR) cyber ». D'autre part, il est aussi question « d'éprouver un modèle d’exercice reproductible dans le cadre de formations et de préparer les exercices à venir ».
Il est possible de revivre le Defnet 2014 via le compte @Defense_gouv avec le hasthag #Defnet2014. S'il s'agit là d'un premier excercice d'envergure, il ne restera pas orphelin bien longtemps puisque Defnet 2015 est d'ores et déjà annoncé pour... mars de l'année prochaine, soit dans cinq mois seulement.
La France « dispose aujourd’hui de capacités offensives »
De son côté, Arnaud Coustillière contre-amiral et officier général à la Cyberdéfense, a répondu aux questions de 01Net sur cet exercice grandeur nature. Mais avant d'entrer dans le vif du sujet, sachez qu'il rejoint lui aussi le constat évoqué plus haut et qui semble partagé par tout le monde : « pas une semaine ne passe sans qu’on ne parle d’une grosse attaque informatique ou d’une importante affaire de cyberespionnage ». Il ajoute ensuite que « de plus en plus de nations développent ces capacités offensives. Celles-ci font désormais partie des nouveaux systèmes d’armes que chaque grand pays veut posséder. C’est le cas notamment de l’Iran ou de la Corée du nord ».
Concernant la France, l'officier ne cache pas que le pays « dispose aujourd’hui de capacités offensives. C’est revendiqué, c’est écrit dans le Livre blanc sur la défense et la sécurité nationale ». Avant de continuer de plus belle : « nous utiliserons ces capacités de la même façon que les armées. À partir du moment où nous mènerons des opérations militaires autorisées dans tel cadre contre tel type d’ennemi, nous utiliserons aussi ces capacités ».
Mais comment se place la France vis-à-vis des États-Unis ? Sans grande surprise, la NSA a largement plus de moyens (l'affaire Prism en est un parfait exemple) tout en disposant d'une plus large « suprématie dans le cyberespace ». Il ajoute par contre que, « si l’on regarde nos alliés européens, les capacités sont tout à fait comparables et nous n’avons absolument pas à rougir ». Rien n'est prévu au niveau européen pour le moment.
Un nouveau bâtiment pour la DGA/MI : un « laboratoire P4 » dédié au cyber monde
Mais au-delà des simulations d'attaque et de défense, la France vient de commencer la construction du nouveau bâtiment de « très haute sécurité » de DGA/MI (Direction Générale de l'Armement Maitrise de l'Information, anciennement CELAR) de 10 000 m² à Bruz en Ille-et-Vilaine.
Il est destiné à accueillir des activités de types « expertise technique » sur des plateformes nécessitant un haut niveau de sécurité et de cloisonnement. En rapport avec les laboratoires de recherche sur les virus les plus dangereux du monde (Ebola et Variole par exemple), le ministère de la Défense le compare à un « laboratoire P4 », mais dédié au monde du « cyber ».
Son rayon d'action est donc relativement large. Selon le ministère de la Défense, il concerne les points suivants :
- Architecture et ingénierie des systèmes
- Expertise et évaluation de l'utilisation du spectre des fréquences et des réseaux télécoms
- Spécification, évaluation et validation des systèmes de commandement et de communication
- Spécification et évaluation des systèmes de renseignement (capteurs spatiaux, drones )
- Évaluation de la sécurité des systèmes d'information, conception et évaluation de produits de sécurité
- Évaluation des performances de systèmes d'armes, de guerre électronique et de guerre optronique
- Expertise et évaluation des systèmes de missiles tactiques et stratégiques
- Expertise de composants électroniques spécifiques pour la défense
Comme le rappel la SGDSN, « le numérique offre de formidables opportunités. Il expose également à des risques de grandes ampleurs qui touchent les individus, les entreprises et les États et limitent leur autonomie ». Si l’on met bout à bout l'exercice Defnet 2014, la mise en place de son nouveau centre technique ainsi que la mise en œuvre des articles phares de la loi de programmation militaire, le message qui veut être diffusé est clair : la France est prête, ou du moins se prépare, et elle veut le faire savoir. Néanmoins, cela ne devrait pas être suffisant pour ébranler la suprématie des États-Unis dans ce domaine...
Commentaires (37)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 11/10/2014 à 10h23
Actu top bien
" />
Le 11/10/2014 à 10h31
Article intéressant.
Le 11/10/2014 à 10h31
Comment savoir si la cyberguerre a débuté ? Une guerre avant se déclarait entre deux états, maintenant ce n’est plus le cas. Qu’est ce qu’une cyberguerre ? Est ce que c’est lorsqu’un groupe s’en prend a des intérêts nationaux ? On a l’impression que c’est déjà le cas depuis plusieurs années.
Etant donné que les cibles sont multiples (une grosse entreprise suffit), des moyens modestes peuvent faire de gros dégats et chacun peut la débuter avec un simple PC et quelques connaissances certainement déjà dispo quelque part dans le web
Pas de début, pas de fin, pas d’images visibles dans les JT…
Le 11/10/2014 à 10h40
Et pendant ce temps,au lab P4 :
Responsable de service : “Technicien Guignol, pourquoi tu es dans mon service ?!
Guignol : “Chef, pour protéger les serveurs, chef !”
Responsable de service : “Donc tu es un administrateur ?!”
Guignol : “Chef, oui, chef !”
Responsable de service : “Fais moi voir ta gueule d’admin !”
Guignol : “Chef ?”
Responsable de service : “T’as une gueule d’admin ? Aaaaarrrrrrrhhh ! Ça c’est une gueule d’administrateur ! Là fais-moi voir ta gueule !”
Guignol : “Aaaaargghhh !”
Responsable de service : “Mon cul ! Autant dire que tu m’as pas convaincu ! Fais moi voir ta vraie gueule d’administrateur !”
Guignol : “Aaaaaaaaaargghhh !”
Responsable de service : “Tu m’fais pas peur ! Travaille moi ça !”
Guignol : “Chef, oui, chef !”
Le 11/10/2014 à 15h53
la reaction de jp morgan me rappelle celle de sony ou adobe au debut : “un cyber atack, nan pensez donc, juste une carabistoille faite avec 2-3 kiddy scripts”. On a vu ce que ça donne après, moi je serais client chez eux, je me barre direct.
Le 11/10/2014 à 15h54
Un ordinateur est un objet. Celui qui le manipule un humain. Tous les deux peuvent détruits par balle ou par bombe. Il se vendra toujours plus d’armes. La cyber-guerre sera la plupart du temps invisible, sauf si elle touche notre quotidien avec les systèmes d’énergie.
On verra même pas les méchants robots si ça se trouve…
Le 11/10/2014 à 16h10
En effet il faudrait que l’état s’occupe plus des start ups mais il ne s’intéresse qu’aux grandes entreprises. Et quant il s’y intéresse c’est pour les voler au profit des plus gros, comme raconté dans cet article.
Le 11/10/2014 à 17h12
Le 11/10/2014 à 17h56
Cela fait vraiment suer que tout l’Internet soit devenu -aussi- un champ de bataille.
Devant ce fait accompli, nous, e-pékins moyens, nous trouvons maintenant face à un dilemme (et non face à un choix, car le choix ne commence à exister qu’avec 3 possibilités minimum) que résume bien l’adage “damned if you do, damned if you don’t” : soit on s’y met sérieusement au niveau national et on va alors contribuer au gangrènement d’internet par la surveillance généralisée et l’intervention intrusive en loucedé, soit on s’abstient et on se fait pourrir la vie online et dévaliser les BDD de valeur par tous les e-bandits plus ou moins étatiques et/ou méchants qui ne respectent plus rien.
Je hais les dilemmes.
Mais j’apprécie cette news.
Le 11/10/2014 à 18h21
Le 11/10/2014 à 18h47
Le 11/10/2014 à 19h06
Le 11/10/2014 à 20h16
Le 11/10/2014 à 20h53
Le 12/10/2014 à 16h00
En attendant que les serveurs de la NSA se fassent pirater….
Le 12/10/2014 à 20h23
On apprends pas grand chose … Si, la défense se met un peut plus sérieusement aux techniques de hack !
Super !
J’y ai vu des stagiaires croire qu’avec une distrib redhat et un iptable de base ils pouvaient garder la baraque du mindef … J’ai bien ri.
Ou encore une fraichement nommée RSSI croire que son checkpoint fw1 était le cerbère ultime.
On passe tout ce qu’on veut dans http, icmp,SMTP etc : en l’État actuel des technos on ne peut rien sécuriser .
Quand on passera en ipv6. J’accepeterai peut être le challenge RSSI, mais là lol quoi !
Écoutez Éric filliol il résume tout.
Alors mon Amiral, avec tout le respect, vous me faites sourire, les ricains et les autres doivent bien se marrer….
Le 12/10/2014 à 20h31
Autre détail : on a le nom et la photo du dirtech de la DGSE française, moi je dis juste : bien vu.
Le 13/10/2014 à 08h02
Bon y a plus qu’à apprendre le russe et le chinois, juste pathétique.
Il y a un excellent article sur les faiblesses de la France lors de la guerre de 7 ans dans guerre et histoire, aujourd’hui rien n’a changé…
Le 13/10/2014 à 10h59
Ils recrutent?
Le 13/10/2014 à 12h14
Le 11/10/2014 à 10h44
> l’exercice Defnetest, le premier du genre …
Encore un truc à se jeter par la fenêtre
> Son rayon d’action est donc relativement large. Selon le ministère de la Défense, il concerne les points suivants …
- titre d’un bouquin sur l’ingénierie informatique.
- intitulé d’un rapport de thèse qu’a l’air compliqué
- description fourretout trouvée sur un cahier des charges de SSII
- jeté aléatoire de buzzwords et autres termes high-tech
Toi aussi ajoute tes cyberdisciplines de sécurité. Allez je me lance:
Le 11/10/2014 à 11h12
Article très INtéressant !
Le 11/10/2014 à 11h13
Le Papa du DPI n’a-t-il pas prévu la Cyberwar pour 2015, comme si ça venait des hackers-terroristes, je dirais que ce sont les gouvernements dirigés par qui vous savez qui mène la barque en bafouillant toutes les lois, soi-disant pour la sécurité, c’est du joli
C’est gentil de dire de se protéger, mais se sont les premiers à casser les protections
Si on promouvait le cryptage sécurisé, les choses seraient moins néfastes, mais pour pouvoir contrôler, il ne faut pas généraliser le cryptage, hein ? (après on s’étonne que la liberté n’en est pas, tous des numéros à IP contrôlée. Un retour de bâton pour les droits de l’homme, je ne cautionne pas les pirates ou hackers néfastes, mais défendre nos droits,c’est ce qu’ont fait les centaines de personnes durant les guerres, quelles qu’elles soient).
un avis personnel, cela dit
Le 11/10/2014 à 11h49
« tout ce qui passe par des systèmes d’origine américaine peut être
" />
intercepté. C’est la même chose avec le matériel chinois. Pour
certaines activités, pas de problème. Pour d’autres… »
AMHA : Carabistouilles .. ça ne se cantonne pas aux américains et aux chinois
Peu importe la provenance , on est toujours obligé de mettre des points de trace d’entrée et sortie dans tous les hardwares à la conception. Et on les laisse pour des raisons de debugging
C’est valable dans les CPU, dans les chips réseaux ou ceux d’entrée/sortie peu importe la nationalité.
Très bon article
Merci
Le 11/10/2014 à 11h51
Reste qu’avec la journée citoyenne ce n’est pas gagné… et même à l’époque du service militaire, les compétences informatiques des jeunes n’étaient que trop rarement exploitées à leur juste valeur.
Faut relativiser un peu quand même, le service militaire a été abrogé en 1997, c’était la fin de la grande époque du minitel
Le 11/10/2014 à 11h52
Ça va être bien drôle dans les années à venir ^^
Leur exercice à déjà l’air bidon et est totalement inutile face à des moyens de guerre modernes que je ne citerai pas là.
Le 11/10/2014 à 12h19
Le 11/10/2014 à 12h36
Le 11/10/2014 à 13h06
Le 11/10/2014 à 13h36
Pendant ce temps là, ulcan agit en tout impunité
" />
Le 11/10/2014 à 13h42
Vous avez aussi des sigles chinois en lieu et place des guillemets sur les coms, ainsi que sur les choix de présentation de la page??? Je subis une cyberattaque?
Le 11/10/2014 à 13h44
C’est le genre de service qui avance mais avec un temps de retard.
" />
" />
A moins d’embaucher d’anciens pirates en informatique, je ne vois pas bien des fonctionnaires atteindre le même niveau, surtout de 8h00 à 17h00 du lundi au vendredi … alors que le délinquant a tout intérêt à progresser très vite, en changeant continuellement de stratégie.
Le 11/10/2014 à 14h19
Le 11/10/2014 à 14h19
Le 11/10/2014 à 14h40
Le 11/10/2014 à 14h59
”… mais parce qu’elle prouve qu’il n’y a quasiment aucune base de données qui ne peut être attaquée par des cybercriminels »,
YouTube
“pas la peine d’en rajouter” !!!
(comme : Pub. Bordeaux Chénel)
Le 14/10/2014 à 07h22