Connexion
Abonnez-vous

Cybermenaces : des élections à la LPM, une année charnière pour l’ANSSI

Le DPI Made in France

Cybermenaces : des élections à la LPM, une année charnière pour l'ANSSI

Le 18 avril 2018 à 09h15

L’ANSSI a présenté son rapport 2017. Une année marquée par 20 incidents majeurs, mais aussi par l’épisode sensible des présidentielles. Un évènement politique qui a concentré toute l’attention des équipes dirigées par Guillaume Poupard. Aujourd’hui, les yeux sont tournés sur la LPM 2019 - 2025, qui encadre et donc autorise l’usage du DPI.

Cette sentinelle du risque informatique en France annonce la couleur au fil de son rapport : « Des attaques comme WannaCry sont la concrétisation de craintes que nous avions et de scénarios que nous avions imaginés. En 2017, nous avons découvert une nouvelle victime de cyberattaques : la démocratie ! » s’exclame Guillaume Poupard.

Avec de tels faits, a exposé hier le directeur général de l’ANSSI, « on ne cherche pas à détruire, mais à influencer les populations. Nous avons eu un avertissement sans frais lors de la campagne électorale. Nous devons désormais apprendre à vivre de manière à nous assurer que les processus fondamentaux sont bien immunes face aux menaces ».

Et il n’y aucune raison que cela s’arrête, « le rapport coût-bénéfice étant très favorable pour les acteurs criminels ».

Plusieurs campagnes d’information pour les élections

Dans le rapport annuel, présenté avec Claire Landais, la Secrétaire générale de la défense et de la sécurité nationale (SGDSN), on apprend qu’un représentant du ministre de l‘Intérieur a été présent au sein de l’agence lors des deux tours de la présidentielle.

L’agence a aussi mobilisé plusieurs entités, parfois pas toujours au fait du risque : « Des actions ont dû être conduites auprès de publics jusqu’alors peu impliqués face aux cybermenaces (Conseil d’État, Conseil constitutionnel) ou ne faisant pas partie des bénéficiaires de l’agence (partis politiques) ».

D’autres ont profité de cette sensibilisation, comme la Commission Nationale de contrôle de la campagne électorale (CNCCEP) et la Haute Autorité pour la transparence de la vie publique (HATVP). Les candidats ayant dépassé le seuil des 500 parrainages ont également eu droit à cette mise à jour. 

L’abandon du vote électronique

L’année a également été marquée par l’abandon du vote électronique pour les Français de l’étranger. Un épisode quelque peu précipité, critiqué, mais assumé par l’ANSSI.

Pour justifier cette décision, l’agence nous avait expliqué qu’« au vu des pièces fournies, le ministère ne sera pas en capacité d’homologuer le système » qui devait être alors déployé.

Toujours dans le document, Vincent Strubel, sous-directeur Expertise (SDE), ajoute que « nous ne disposions pas d’une solution satisfaisante d’authentification sur la plateforme en cours de développement et surtout nous avions identifié un contexte particulier d’augmentation forte de la menace sur le processus électoral comme cela venait d’être vécu durant les élections américaines. Nous voulions à tout prix éviter de générer une défiance sur le vote électronique. »

Le 2 octobre dernier, Emmanuel Macron a néanmoins promis devant l’Assemblée des Français de l’étranger, le retour au vote électronique d’ici les élections consulaires de 2020, non sans gonfler le torse : « Si nous ne sommes pas en capacité pour les prochaines élections de nous organiser pour avoir un système de vote étanche à toute attaque, ça ne s'appelle plus la France, notre pays ! ».

20 incidents majeurs en 2017, 1 000 systèmes d’information vitale

Si l’on quitte le terrain des élections pour plonger dans le risque « cyber », l’ANSSI a reçu 2 435 signalements en 2017. 1 621 ont été traités. Dans le lot, 20 incidents majeurs ont émaillé ses activités, sans grand détail, ces éléments étant classés.

Depuis la loi de programmation militaire, l’agence est montée en capacité juridique, d’abord pour accompagner une protection plus robuste des opérateurs d’importance vitale (OIV), ceux dont une défaillance « risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation » (article L1332-1 du Code de la défense). Les grands noms du nucléaire ou du transport aérien ont dû ainsi identifier « la liste de systèmes d'information d'importance vitale » suite à la publication de plusieurs décrets d’application.

L’idée est connue. « Dans ces secteurs critiques, on ne peut attendre la catastrophe pour réagir », commente Guillaume Poupard. « Ce sont des sujets trop sérieux pour les laisser aux bonnes intentions », ajoute-t-il pour expliquer l’intervention du législateur et des autorités règlementaires afin de créer « un écosystème de confiance » (prestataires labellisés, etc.). Selon le dernier décompte, 1 000 systèmes d’importance vitale ont été identifiés « comme critiques pour la sécurité de l’État, de la Nation, la vôtre, la mienne ».

Dans la queue de la comète de cette loi, « nous sommes dans la mise en œuvre des règles de sécurité. Les OIV travaillent beaucoup, la règlementation est un catalyseur qui les aide à en faire une priorité au-dessus de la pile » a encore commenté le numéro un de l’agence.

Une coopération avec l’ENISA

Sur le terrain européen, l’intéressé a plaidé pour une approche coordonnée avec l’ENISA, l’agence de sécurité informatique européenne. « Nos ennemis font tout pour notamment me faire dire que j’oppose l’autonomie de la stratégie européenne et la souveraineté nationale. Or, nous avons absolument besoin d’une Europe plus forte dans le domaine de la cybersécurité, cela inclut de la recherche et du développement, une politique industrielle et de la règlementation. Les 28 ou 27 doivent se saisir de ces sujets, avec des structures fortes comme l’ENISA ».

Dans son esprit, cette coopération volontariste peut ne pas empiéter sur la souveraineté nationale.

Le sujet sensible de la LPM 2019 - 2015, l'ombre du DPI

L’autre grand dossier de l’ANSSI est évidemment la LPM 2019 - 2025 qui sera examinée en mai au Sénat.  L’article 19 va permettre aux opérateurs de communications électroniques à installer d’eux-mêmes, à leur charge, des dispositifs calibrés pour utiliser sur le réseau des « marqueurs techniques » aux fins de cybersécurité.

Cette démarche leur permettra de proposer des offres commerciales taillées pour les besoins de leurs clients, comme nous le plaide depuis de longs mois Orange.

Pour expliquer cette législation, un agent de l’ANSSI a fait hier une démonstration imagée de ce travail de détection à l’entrée d’un ministère. Pour mémoire, ce texte va autoriser les uns et les autres à déployer légalement un système de deep packet inspection dédié à la cybersécurité.

Une intrusion profonde dans les paquets puisqu’il sera par exemple possible de scruter les pièces jointes aux mails ou les URL piégées afin d’actionner les signaux d’alerte.

Pour encadrer ces mesures, le projet de loi prévoit un contrôle par l’Arcep, contrôle qui a d’ailleurs été aiguisé à l’Assemblée nationale.

Pour « vendre » ce projet de loi, Poupard estime que « la détection d’attaque est absolument nécessaire. Si on ne cherche pas, il y a des attaques qu’on ne trouve pas ». D’où l’usage de marqueurs techniques destinés à repérer des traces d’attaques. « On parle bien de détection, pas d’intervention sur le flux de données » a-t-il tenu à préciser.

Sachant qu’il sait le chemin miné : chaque pas dans cette direction peut susciter quelques craintes légitimes sur le secret des correspondances, d’autant que l’histoire nous enseigne qu’une fois la porte ouverte, d’autres entités ne tarderont pas à scruter avec gourmandise de cet avenir sécurisé.

D’une certaine manière, l’enjeu de la nouvelle LPM est de propager le mouvement initié avec celle de 2013 en l’étendant des OIV aux FAI et hébergeurs, et même à tous les opérateurs. « Nous avions senti le besoin d’une évolution règlementaire ».

Côté ANSSI, les hébergeurs sont la cible première de cette législation en gestation, alors que la loi est beaucoup plus ample lorsqu’elle évoque les opérateurs. « Aujourd’hui nous avons une liste d’adresses IP, de serveurs, où on a la quasi-certitude qu’il y a des attaques très hostiles, mais nous n’avons pas les moyens règlementaires d’aller voir ».

Commentaires (12)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







loser a écrit :



Non mais là c’est bien pire, avec le DPI il s’agit de LIRE le contenu, et pas seulement de scanner le contenant (=métadonnées).





Oups. Ok, j’avais lu de travers. Merci pour la correction. Là, je trouve l’ANSSI hors du coup.


votre avatar







alphavo50 a écrit :



 Si tu es connecté en HTTPS ou IMAP avec TLS (port 993), non. Ce sera chiffré, ils sauront juste que tu discutes avec ce service là.



Juste une remarque, en tant qu’opérateur, rien ne les empêche de faire du Man in the middle et ainsi connaitre l’intégralité du contenu des mails.


votre avatar

Attends, on est dans le cas où le service mail est en Suisse :

 







Jarodd a écrit :



Si je suis chez Orange, et que j’utilise un service e-mail basé en Suisse, est-ce qu’il sera inspecté, ou pas ?





Et je me suis placé dans le cas où Jarodd consultait ses mails : en HTTPS par webmail, pas de MITM et en IMAP avec TLS, si le client vérifie le certificat (bien vérifier la config), pas de MITM possible.

Ou alors j’ai raté un épisode.



Après, si on parle du service mail basé chez l’opérateur, bien sur que les sondes vont tout voir passer. D’ailleurs l’ANSSI indiquait “se mettre au plus près de la cible” pour éviter le HTTPS.



Et puis zut, un VPN qui débouche en Suisse et le problème est résolu. <img data-src=" />


votre avatar

Ca tombe bienb, le fournisseur en question (Infomaniak) propose aussi des VPN ! <img data-src=" />



La France, ce beau pays qui enrichit les entreprises des pays étrangers&nbsp; <img data-src=" />

votre avatar

Si je fais un parallèle avec le courrier physique. Il y a des scans qui sont faits sur les plis et les colis. Ce ne serait pas idiot que l’ANSSI participe à faire de même pour les flux réseau.

votre avatar

Et voila on a notre NSA à la française.

&nbsp;

Une intrusion profonde dans les paquets puisqu’il sera par exemple possible de scruter les pièces jointes aux mails ou les URL piégées afin d’actionner les signaux d’alerte.

On va devoir se mettre à tous chiffrer maintenant.

&nbsp;

votre avatar

Si je suis chez Orange, et que j’utilise un service e-mail basé en Suisse, est-ce qu’il sera inspecté, ou pas ? Qui est l’opérateurs de communications électroniques, c’est Orange ou le service suisse ?

votre avatar

Non mais là c’est bien pire, avec le DPI il s’agit de LIRE le contenu, et pas seulement de scanner le contenant (=métadonnées).

votre avatar







Jarodd a écrit :



Si je suis chez Orange, et que j’utilise un service e-mail basé en Suisse, est-ce qu’il sera inspecté, ou pas ? Qui est l’opérateurs de communications électroniques, c’est Orange ou le service suisse ?





C’est Orange l’opérateur. C’est sur ses tuyaux qu’aura lieu l’inspection l’espionnage.



Après la question est peuvent-ils récupérer les infos des paquets inspectés ?

&nbsp;

Si tu es connecté en HTTPS ou IMAP avec TLS (port 993), non. Ce sera chiffré, ils sauront juste que tu discutes avec ce service là.



Si tu es en HTTP ou IMAP tout court (port 143), c’est en clair, donc c’est openbar pour eux.


votre avatar

Merci <img data-src=" />



Mon service est payant donc il doit être chiffré (je vérifierai, au cas où). Pour un service mail, on voit quand même les méta-données, non ? Si tout est chiffré comme l’e-mail peut-il être acheminé ?



Et pour le web, vu que le HTTPS se répand, à quoi sert de faire du DPI ? Désormais on va aller vers du tout chiffré…

votre avatar







Jarodd a écrit :



Pour un service mail, on voit quand même les méta-données, non ?





&nbsp;Je ne connais pas assez les détails.



Je suppose que l’adresse mail est en clair (ou peut-être seulement le nom de domaine ?), peut-être pas l’objet.



Après le but du DPI est d’aller fouiller jusqu’au pièces jointes. Et là, c’est chiffré, c’est sûr.


votre avatar

Ouais Sarko l’avait rêvé maintenant on y est.

Et dans 3 ans ça sera étendue à d’autres services pour diverses raisons toutes fallacieuses terrorismes, banditisme, etc…

Cybermenaces : des élections à la LPM, une année charnière pour l’ANSSI

  • Plusieurs campagnes d’information pour les élections

  • L’abandon du vote électronique

  • 20 incidents majeurs en 2017, 1 000 systèmes d’information vitale

  • Une coopération avec l’ENISA

  • Le sujet sensible de la LPM 2019 - 2015, l'ombre du DPI

Fermer