Pourquoi il faut sauver le soldat Anssi

Depuis 18 mois, les violations de données se sont multipliées en France. Selon Le Canard Enchaîné, le premier ministre s'apprêterait à débrancher l'Agence nationale de sécurité des systèmes d'information (Anssi). Le fusible idéal ?

Nos confrères disent Vincent Strubel, directeur général de l'Anssi depuis 2023, « plus menacé que jamais » et que l'Agence elle-même serait « sur la sellette ». Tout cela sur fond de fusion annoncée de la DINUM et de la DTIP en une autorité nationale du numérique et de l'IA placée directement sous l'autorité de Matignon. Alors, oubliés le succès des JO de Paris en 2024, sur le front de la cybersécurité ? L'Anssi ne serait depuis plus bonne à rien ?

Dans les couloirs, l'Agence ne manque pas d'attirer des critiques, dont certaines sont vraisemblablement justifiées. Je n'ai moi-même pas manqué d'en émettre à plusieurs reprises par le passé, sans attendre son ère Strubel. Mais à quoi assistons-nous depuis 18 mois ? À la matérialisation d'une longue chaîne de compromissions dans laquelle un individu victime - généralement à son insu, au moins pour un certain temps - de cleptogiciel n'est que le patient 0.

Les infostealers constituent une menace omniprésente. Ces logiciels malveillants sont conçus pour exfiltrer des données sensibles, incluant identifiants de connexion et jetons d’authentification. Une fois récoltés, ces éléments confèrent aux acteurs malveillants un accès direct aux systèmes d’entreprise et aux environnements cloud, aux applications Web et SaaS, ouvrant la voie à des prises de contrôle de comptes, des déplacements latéraux et autres exfiltrations de données.

Il y a donc ce que l'on appelle les logs d’infostealer, et il y a les listes nettoyées, traitées, formatées, consolidant les données d’authentification de dizaines de milliers, centaines de milliers, de comptes prêts à être compromis à l’insu de leurs propriétaires. On parle de combolists. Et comme les logs, ces combolists sont partagées chaque jour, gratuitement, en grand nombre, sur des chaînes Telegram dédiées, notamment.

Avec les identifiants volés, la frontière entre vie personnelle et vie professionnelle s’efface. Dans ce contexte, pas de doute, de nombreuses victimes en devenir s’ignorent encore, du fait de rançongiciels, potentiellement. Sur l’ensemble de l’année 2024, ransomware.live a constaté l’existence d’identifiants compromis pour plus de 45 % des victimes de rançongiciel connues, en s’appuyant sur les données d’Hudson Rock.

Mais cela ne s'arrête pas à ça. Souvenez-vous : la rentrée scolaire de janvier 2023 en avait donné une impressionnante illustration. Des menaces d’attentat étaient diffusées via les espaces numériques de travail (ENT). Elles concernaient une vingtaine d’établissements scolaires. Pas la moindre substance explosive n’avait été trouvée dans les établissements concernés.

Les menaces émanaient d’un compte ENT d’un élève, piraté, à l’aide d’identifiants dérobés par cleptogiciel. L’Éducation Nationale avait par la suite lancé une vaste campagne de sensibilisation sur cette menace. Tout sauf un luxe.

Alors, l'Anssi, impuissante face à cette menace ? Ou juste pas écoutée ? Vraisemblablement un peu des deux. Car comment apporter une réponse potente à une menace diffuse si l'on n'est pas écouté, si l'on prêche dans le vide la généralisation à marche forcée de l'authentification à facteurs multiples (MFA) ? Cette dernière n'a-t-elle pas justement été évoquée à l'occasion de l'intrusion dans les systèmes du ministère de l'Intérieur, en fin d'année dernière ?

Quoi qu'il en soit, affaiblir l'Anssi - voire la dissoudre - ferait probablement le bonheur de certains. En particulier les promoteurs du participant (ou tiers) fantôme pour contourner le chiffrement de bout-en-bout de certaines messageries. Le concept n'a jamais manqué de faire grincer des dents au sein de l'Agence, même si certains - partis depuis - ont pu se permettre une prise de parole considérablement plus libre que d'autres, dont Guillaume Poupard et Christian Daviot, il y a seulement un an.

Étouffer la voix de l'Anssi ? D'aucuns en rêvent peut-être, alors que casser le chiffrement de bout-en-bout permettrait de tirer pleinement profit des capacités des outils de Palantir qui a renouvelé son contrat avec la DGSI il y a quelques mois seulement. Une raison suffisante sûrement, pour les défenseurs des libertés individuelles, de refuser la dilution, sinon la disparition, de l'Anssi.