Le Télégramme révèle aujourd’hui que le système d’informations de l’Elysée a été victime de deux attaques qualifiées de majeures. Il est évidemment beaucoup trop tôt pour commenter quoi que ce soit sur l’impact de ces attaques, leur motivation ou leur origine, quoique leur timing ait visiblement été particulièrement bien choisi : la deuxième de ces attaques se serait produite entre le second tour de l’élection présidentielle (6 mai) et la prise de fonction de François Hollande (15 mai). Le Télégramme qualifie ces attaques de « majeures » en raison du fait que l’investigation et le nettoyage du réseau auraient pris 3 jours.
En attendant davantage d’informations sur ces intrusions, il y a plusieurs points qui méritent un commentaire :
- En premier lieu, 3 jours pour investiguer et nettoyer un réseau, ça n’a rien d’exceptionnel, et c’est même plutôt rapide et efficace, compte tenu du fait qu’une attaque ciblée peut durablement s’enraciner dans un SI et nécessite en général une intervention complexe ne serait-ce que pour identifier quels systèmes ont été compromis et de quelle manière ils l’ont été ;
- De même, la détection de la deuxième attaque a visiblement été rapide, puisque les systèmes compromis auraient été nettoyés le week-end avant l’intronisation de François Hollande, c-a-d le week-end du 12-13 mai ;
- Enfin, cette information n’avait visiblement pas pour vocation à fuiter dans la presse, et aurait pu rester secrète ad vitam aeternam. De ce point de vue, le processus de notification et de partage rappelle un peu celui de Bercy, où l’intrusion a été initialement signalée à la presse par des salariés violant volontairement la consigne de confidentialité qui leur avait été donnée. Initiative dangereuse mais salutaire, puisque le secteur privé a ainsi pu bénéficier de ce retour d’expérience crucial. Une chose est désormais claire, ce type d’information « brûlante » finit souvent par devenir publique tôt ou tard ; et dès lors que c’est le cas, mieux vaut profiter de l’occasion pour sensibiliser le public à la sécurité et à faire preuve de transparence sur les modes opératoires employés afin d’en faire profiter également le secteur privé, qui rappelons-le, est soumis à des menaces de même nature et de même intensité que les réseaux gouvernementaux.
Enfin, et quoi qu’on en dise, quels que soient les moyens que l’on emploie pour y remédier ou le nombre de personnes que l’on recrute (référence au plan colossal de recrutement de l’ANSSI, qui prévoyait aux dernières nouvelles de recruter encore 130 experts sécurité avant fin 2013), l’attaquant aura toujours l’avantage. Il parviendra toujours à entrer, la complexité des SI et la pauvreté des moyens techniques actuels pour garantir leur intégrité et leur supervision restant son principal avantage. Les seules questions pertinentes sont : à quel prix l’attaquant parviendra à son but ? Et restera-t-il dans le système intrusé assez longtemps pour faire des dégâts ?
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));