Qui est capable de mener une cyberguerre contre les systèmes d’information d’institutions publiques ?
En termes militaires, ce sont les puissances qui maîtrisent la dernière génération d’armes qui dominent les autres. Les territoires stratégiques ont ainsi évolué au fil des époques : espace terrestre, espace maritime, espace aérien, télécommunications dans l’espace et tout récemment le cyberespace, autrement dit toutes les fonctionnalités numériques liées à l’usage d’internet. La cyberguerre est une « guerre du pauvre » car elle nécessite de moindres moyens comparés au coût élevé des opérations menées sur les autres terrains de guerre. Elle peut donc être conduite par une équipe restreinte de quelques personnes. Les techniques pour hacker les systèmes d’information sont accessibles à de nombreux informaticiens, même si elles nécessitent une préparation et une organisation minutieuses.
Qui est visé par les cyberattaques et quel est l’objectif ?
Les opérations de piratage contre TV5 Monde en 2015, tout comme celle contre Bercy en 2011, visent avant tout les États, même si des méthodes similaires sont utilisées en matière d’espionnage industriel. L’objectif des pirates du numérique est de gagner la guerre de l’information en installant la crainte dans les esprits. Si des individus sont capables de déstabiliser le fonctionnement d’une chaîne de télévision publique, obligée de virer à l’écran noir, les installations industrielles, mais aussi militaires, sont-elles à l’abri ? Est-il possible de prendre le contrôle à distance de sous-marins nucléaires ? Ce sont ces doutes que cherchent à installer les auteurs des cyberattaques.
Comment s’est déroulée concrètement l’attaque contre TV5 Monde ?
Comme pour l’assaut numérique opéré contre Bercy en 2011, il a suffi qu’un seul ordinateur du système d’information soit infecté pour provoquer d’importants dégâts. La technique consiste dans un premier temps à envoyer un e-mail piégé à un grand nombre de destinataires, ce que l’on appelle la technique du « phishing ». En présence de failles de sécurité non corrigées, il suffit qu’une seule personne réponde à cet e-mail pour installer un programme de type « cheval de Troie » qui permet de renifler les mots de passe circulant sur le réseau interne. Dès lors que l’on dispose des accès utilisés par des administrateurs, il est possible de prendre la main sur le système et de commander à distance, dans le cas de TV5 Monde, l’arrêt de la diffusion des émissions. L’entité des programmes télévisés y est en effet désormais entièrement numérisée. Une telle opération est techniquement accessible à tout apprenti hacker, mais requiert pour la mener jusqu’à son terme une organisation d’inspiration militaire. Lorsqu’il existe deux systèmes d’information imperméables, comme en sont équipés les sites militaires sensibles, l’un réservé à la gestion des activités stratégiques et l’autre dédié aux échanges professionnels courants, cette méthode s’avère inopérante.
Est-il possible de se protéger contre ces assauts informatiques ?
Sécuriser un système d’information à 100 % n’est pas une chose facile. S’il suffit d’une seule faille pour qu’une attaque réussisse, les opérations de défense doivent pour leur part être efficaces 24 h sur 24 h, sur la totalité du périmètre et se renouveler en permanence pour contrer les nouvelles méthodes utilisées par les assaillants. La cybersécurité ne peut pas exister sans le contrôle d’une tierce partie, reportant directement à la direction générale, sur les actions des personnes qui sont elles-mêmes en charge d’assurer la protection informatique de l’organisation. Il y a en effet presque toujours une faille humaine à l’origine des crises d’origine numérique : soit une personne mal intentionnée appartenant à l’organisation, ou travaillant comme sous-traitant pour cette dernière, exploite des informations pour mener des opérations malveillantes, soit les équipes en charge de la sécurité ont baissé la garde en faisant circuler des mots de passe stratégiques à travers des réseaux non sécurisés ou en utilisant des systèmes d’identification génériques qui ne permettent pas de tracer les actions réalisées par chacun. L’excellence d’un système de protection ne porte ses fruits que s’il s’inscrit dans une succession d’actions répétées : audit de sécurité, plan d’action, reporting… et de recommencer ainsi sans cesse.
Quels sont les réflexes à acquérir pour gagner la bataille de la cybersécurité ?
– Installer deux réseaux pour les organisations dont l’activité stratégique est pilotée de manière numérique,
– Systématiser un dispositif de log personnalisé pour tracer les actions de chaque individu comme un changement de mot de passe,
– Installer tous les « patchs » (correctifs de sécurité) des logiciels utilisés sur tous les ordinateurs,
– Protéger les mots de passe des administrateurs dans un coffre-fort électronique afin de ne pas les faire circuler sur le réseau ni les stocker sans protection,
– Utiliser un bastion de protection intégré à un support physique et placé au sein de l’organisation. Les administrateurs doivent ainsi s’identifier par exemple via un générateur de mot de passe à usage unique, des empreintes digitales ou une reconnaissance faciale, ce qui compromet la prise de contrôle à distance.
Au final, une cybersécurité efficace ne résulte pas d’une somme d’actions réalisées à un instant T, mais relève d’habitudes à prendre, à renouveler et à mettre à jour continuellement. Comme on prend soin de verrouiller la porte de sa maison en partant, il est nécessaire de protéger en permanence tous les accès aux systèmes d’information pour éviter toute intrusion malveillante.
Pour en savoir plus, consultez le programme des 13 formations Demos dédiées à la sécurité informatique et suivez sur Twitter Philippe, notre expert informatique.