Cyber-attaques par déni de service : la France aussi en a été victime

La vaste cyber-attaque dont font actuellement l’objet les Etats-Unis et la Corée du Sud le rappelle : les Etats deviennent de plus en plus des cibles de choix à mesure que s’y étend l’informatisation de la vie publique. Une problématique que souligne Patrick Pailloux, directeur de la toute nouvelle Agence nationale de la sécurité des systèmes d’information (Anssi). Et de révéler qu’une administration française a récemment été la cible d’une attaque du même type, à savoir un déni de service distribué.

capture cran 2009 34C’était au premier trimestre 2009 : « la France a été la cible d’une cyber-attaque similaire à celle que les Etats-Unis ou la Corée du Sud ont vécue, » expliquait ce jeudi soir, sur France 3, Patrick Pailloux, directeur de l’Agence Nationale de la Sécurité des Systèmes d’Information (Anssi), qui précise que « c’est une administration française qui a été visée ; le site Internet de cette administration et sa messagerie ont été bloqués pendant quelques heures, le temps que l’on mette en place des mesures de contournement. » Joint par téléphone, Patrick Pailloux (en photo ci-contre) indique qu’il s’agissait d’une attaque par déni de service distribué (DDoS, Distributed Denial of Service) impliquant un botnet [un réseau de machines zombies, NDLR] d’environ 7 000 ordinateurs. Dont certains en France. « Nous avons isolé le trafic international pour soulager les serveurs et rétablir le service en France », explique aujourd'hui le directeur de l’Anssi, à l'époque à la tête de la DCSSI (le service auquel succède l'Anssi).

La difficile recherche des responsabilités
Les services secrets sud coréens ont, dans un premier temps imputé à la Corée du Nord la responsabilité de la cyberattaque dont sont victime leur pays ainsi que les Etats-Unis. Avant de se rétracter en indiquant que les ordinateurs impliqués sont répartis dans une dizaine de pays. En fait, comme le souligne Patrick Pailloux, directeur de l’Anssi, « il est très difficile de savoir qui est derrière une attaque. Et découvrir qui contrôle l’attaque ne suffit pas. » Une découverte déjà difficile à réaliser. Quant à savoir si une attaque a un caractère politique, « cela dépend de la cible et du contexte. Mais ce n’est pas mon travail, qui est purement technique. Après c’est une affaire de police et de renseignement. »
Cliquez pour dérouler
Mais bloquer une attaque de type DDoS est tout sauf simple, même si « on commence à avoir un petit peu d’expérience. C’est un sujet sur lequel il faut rester très humble. On sait faire des choses. Nous sommes en contact avec les fournisseurs d’accès à Internet. Mais je ne peux pas entrer dans les détails » des dispositifs de protection prévus. Reste que, au moins pour le premier stade d’alerte, l’Anssi peut compter sur une certaine coopération internationale, via notamment les Cert ( Computer Emergency Response Team, organismes officiels chargés d'assurer la prévention des risques et l'assistance aux traitements d'incidents) : « lors l’attaque en Estonie (en 2007, ndlr), on a eu des informations indiquant l’implication de machines compromises en France. » Et de pouvoir ainsi agir sur le territoire nationale.

« SI publics trop exposés : un faux débat »

Reste que, outre-Atlantique, certaines voix questionnent déjà l’exposition des SI des administrations publiques sur Internet. Pour Patrick Pailloux, « c’est un faux débat. On ne pas vouloir tout et son contraire, vouloir dématérialiser et ne pas exposer les SI. » Néanmoins, deux questions peuvent légitimement être posées : « les systèmes que l’on a besoin d’exposer sont-ils assez protégés ? » et « expose-t-on des systèmes qui n’ont pas à l’être ? » Des points qui, pour certains, relèvent des directives de sécurité envoyées par l’Etat aux organisations jugées critiques pour le bon fonctionnement de la vie nationale. A une nuance prêt : « là, les enjeux sont encore plus importants. »

« La menace croît à mesure que la société de l’information se développe »

Surtout, à l’heure où le monde des botnets ne cesse de croître – selon la fondation ShadowServer, on recense plus de 3 500 botnets à travers le monde, contre 1 500 il y a deux ans –, personne ne semble à l’abri et surtout pas les entreprises. A l’automne dernier, Patrick Pailloux s’était illustré par un discours musclé aux Assises de la Sécurité de Monaco.

Aujourd’hui, il insiste : « la cybersécurité est un vrai sujet. Nous devons passer à la vitesse supérieure […] La menace croît à mesure que la société de l’information se développe. » Et de renvoyer à la récente transformation de la Direction Centrale de Sécurité des Systèmes d’Information (DCSSI) en Anssi. Parmi ses nouvelles missions, l’Anssi devra notamment « faire un usage plus large de ses capacités de labellisation », l’ouvrant notamment aux prestataires d’audit de sécurité en plus des produits. Surtout, s’il n’est pas question d’aider individuellement chaque entreprise française – sauf peut-être des opérateurs d’infrastructures vitales –, « nous allons plus communiquer ». Et Patrick Pailloux de vouloir s’attacher à informer les « PME et TPE qui n’ont pas forcément les moyens ou les ressources pour se protéger. » Et pour cela, il entend s’adresser aussi bien aux RSSI qu’aux « directeurs, aux DSI, aux utilisateurs… : on ne peut négliger personne. » 

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)

Close