La semaine dernière s'est tenu un exercice interarmées sur la question des cyberattaques : Defnet 2014. Arnaud Coustillière, contre-amiral et officier général à la Cyberdéfense, s'explique sur le but de cette manoeuvre, tandis qu'Alain Juillet, ex-directeur de la DGSE, évoque les questions de cybersécurité dans le « Cloud ». Deux approches pour un même problème de fond, la « Cyberguerre », alors que la DGA (Direction Générale de l'Armement) vient tout juste de poser la pierre d'un nouveau bâtiment de 10 000 m² dédié au « cyber ».

Nos confrères de l'AFP indiquent ainsi que plusieurs enquêtes ont été ouvertes par différents organismes outre-Atlantique, suite à l'annonce de la fuite de données de pas moins de 83 millions de comptes. « C'est parmi les attaques informatiques les plus troublantes et pas seulement à cause de son ampleur, mais parce qu'elle prouve qu'il n'y a quasiment aucune base de données qui ne peut être attaquée par des cybercriminels », indique ainsi Lisa Madigan, procureure de l'État de l'Illinois. Elle ajoute que la banque serait en train de « d'essayer de minimiser » l'étendue de l'attaque.

Mais cette intrusion pourrait n'être que la partie visible de l'Iceberg. En effet, selon le New York Times qui cite des sources proches du dossier, neuf autres institutions financières auraient été victimes du même groupe de pirates qui, selon des rumeurs persistantes, agirait depuis la Russie.

Le cas de cette dernière est d'ailleurs intéressant à plus d'un titre. Tout d'abord parce qu'il s'agit de l'une des plus grosses banques d'affaires des États-Unis et qu'elle a pignon sur rue dans de très nombreux États. De plus, le temps de réaction aurait été assez long puisque les pirates seraient restés près d'un mois dans les serveurs de la banque. La société n'a toutefois ni confirmé ni démenti cette information.

Le cas des autres sociétés est à l'étude et le G29 (groupement des CNIL européennes) planche sur la question. À l'étranger, la situation n'est guère plus reluisante avec des fuites de données pour Home Depot , eBay , Avast , mais également les photos de stars volées et très récemment l'affaire JPMorgan.

Il ne se passe quasiment plus une semaine sans qu'une affaire de cyberattaque ne remonte à la surface, que des pirates ou des gouvernements en soient à l'origine. Depuis le début de l'année, la France n'est pas épargnée avec le double piratage d'Orange par exemple. Mais il faut rappeler que seuls les opérateurs et FAI ont une obligation de communications en pareille circonstance.

Alain Juillet, ancien directeur de la DGSE en 2002/2003 et responsable de la cellule SGDN (Secrétariat de la Défense Nationale) de Matignon, tient à peu près le même discours que Mme Lisa Madigan concernant les cyberattaques. Alors qu'il est désormais président du CDSE (Club des Directeurs de Sécurité des Entreprises), il a été en effet interviewé par nos confrères des Echos : « les dirigeants d’entreprises ne sont pas prêts, même si on constate des avancées depuis quelques années. Il y a trente ans, il fallait protéger le patrimoine humain et le matériel, sécuriser les entrepôts et les bureaux. On maîtrisait. Avec le numérique et le cyberespace, tout est possible. On est entré dans un autre monde ».

C'est d'ailleurs un des principaux problèmes de la cybersécurité pour les entreprises : repenser son système informatique et allouer des ressources à ce poste qui peut rapidement devenir coûteux, tout en ne permettant pas de garantir une sécurité à 100 %. Alain Juillet ajoute qu'un « piratage peut coûter entre 5 et 10 % du chiffre d’affaires annuel ! Un tel risque, cela devrait faire réfléchir », mais trop de dirigeants ne se posent visiblement la question qu'une fois que le mal est fait, trop tard donc. Afin de bien faire passer le message, il cite une phrase « choc » de Patrick Pailloux, directeur technique de la DGSE et ancien directeur général de l'ANSSI : « Quand un patron informatique me dit qu’il ne s’est jamais fait attaquer, c’est soit qu’il est menteur soit qu’il est incompétent ».



Patrick Pailloux

Le cas du matériel étranger (américain/chinois) et la grande question du « Cloud »

Selon Alain Juillet, il faut également se méfier de la provenance du matériel utilisé : « tout ce qui passe par des systèmes d’origine américaine peut être intercepté. C’est la même chose avec le matériel chinois. Pour certaines activités, pas de problème. Pour d’autres… » C'est d'ailleurs un point qui avait poussé à la création d'un « Cloud souverain » il y a maintenant deux ans. Il ajoute que « personne ne sait vraiment ce qui se passe en ligne », reprenant ainsi un message que veut faire passer le film Sex Tape.

Le SGDN (Secrétariat Général de la Défense et de la Sécurité Nationale) vient d'ailleurs de publier un article - Vers une souveraineté numérique - abondant en ce sens : « les révélations d’Edward Snowden ont montré avec quel raffinement des agences de renseignement pratiquent l’espionnage technique en piégeant des matériels ou des logiciels informatiques du commerce ».

Afin de répondre à cette « menace majeure », le gouvernement développe « une offre nationale dans le domaine de la sécurité des systèmes d’information ». Le SGDN ajoute que « s’il est illusoire de vouloir redévelopper les composants des infrastructures qui portent le cyberespace, il est possible de se fixer pour objectif de maîtriser certaines technologies, comme les moyens de chiffrement, les sondes de détection d’attaque et certains équipements présents au cœur des réseaux de communication numérique ».

Quand on reparle du « Patriot Act à la Française »

Le thème en question nous replonge directement dans le fameux article 13 (devenu ensuite l'article 20) de la loi de programmation militaire adopté fin 2013. Pour rappel, il a pour but de créer un « Patriot Act à la Française ». Comment ? En ouvrant à de nombreuses administrations le droit de communication sur tous les « documents » et « informations » qui transitent via les opérateurs, ce qui va largement au-delà des simples métadonnées. Une puissance intrusive qui n’est pas sans soulever quelques questions, notamment après les affaires liées à la NSA.

Pour Allain Juillet, une solution intéressante pourrait être mise en place en suivant l'exemple d'un pays : « il faudrait créer davantage de liens entre les start-up et l’État. Comme peut le faire Israël : leurs jeunes experts font leur service militaire dans les services cyberdéfense ou cyberattaque de l’armée, puis ils financent ceux qui veulent monter leur start-up ». Reste qu'avec la journée citoyenne ce n'est pas gagné... et même à l'époque du service militaire, les compétences informatiques des jeunes n'étaient que trop rarement exploitées à leur juste valeur.

L'accord « safe harbor » avec les États-Unis remis en question

Concernant les citoyens, leur vie ainsi que leurs données privées des actions sont également menées. Il est ainsi question de « renégocier l’accord dit « safe harbor » entre I’UE et les Etats-Unis qui n’offre pas de garanties suffisantes en matière de protection des données lorsque celles-ci sont envoyées à des sociétés privées américaines ».

Un point de vue que partage également Andrus Ansip, futur commissaire européen au marché numérique. En effet, EurActiv rapporte que lors de son audition du 6 octobre, il tenait le discours suivant : « nous devons protéger la vie privée de chacun. La protection des données constituera une des clés de voûte du marché numérique. Les citoyens doivent avoir confiance en ce projet ». De fait, il n'exclut pas de suspendre l'accord sur la sphère de sécurité (safe harbor) avec les États-Unis : « La sphère de sécurité n'est pas sûre. L'accord n'est pas à la hauteur de ses ambitions » indique-t-il.

Mais ce n'est pas la seule voix provenant du parlement, on se souviendra que Věra Jourová, commissaire à la justice, tenait le même discours dans sa lettre de mission publiée début septembre. Si l'on remonte un peu plus loin, c'était une partie du Parlement européen qui remettait en question le « safe harbor ».

Defnet 2014 : La France vient de réaliser un exercice de cyberattaque

Mais la protection des services informatiques et des données personnelles n'est pas le seul angle à prendre en compte dans cette « Cyberguerre ». En effet, une cyberattaque peut également être mise en place par un pays contre un ennemi par exemple, ou à des fins de surveillance. Le cas de la NSA est d'ailleurs emblématique.

La France n'est pas en reste dans ce domaine et vient de terminer un exercice interarmées : Defnet 2014. Le ministère de la Defense explique que « l’exercice Defnet est, le premier du genre, est particulièrement innovant de par son caractère global. Il permet d’entraîner nos forces spécialisées depuis le niveau le plus bas jusqu’au niveau du commandement des opérations cyber ».

On apprend également que les objectifs sont à double sens : « d’une part, dans ses aspects opérationnels, qui sont d’entraîner les joueurs à la gestion de crise cyber et au déploiement de groupes d’intervention rapide (GIR) cyber ». D'autre part, il est aussi question « d'éprouver un modèle d’exercice reproductible dans le cadre de formations et de préparer les exercices à venir ».

Il est possible de revivre le Defnet 2014 via le compte @Defense_gouv avec le hasthag #Defnet2014. S'il s'agit là d'un premier excercice d'envergure, il ne restera pas orphelin bien longtemps puisque Defnet 2015 est d'ores et déjà annoncé pour... mars de l'année prochaine, soit dans cinq mois seulement.

La France « dispose aujourd’hui de capacités offensives »

De son côté, Arnaud Coustillière contre-amiral et officier général à la Cyberdéfense, a répondu aux questions de 01Net sur cet exercice grandeur nature. Mais avant d'entrer dans le vif du sujet, sachez qu'il rejoint lui aussi le constat évoqué plus haut et qui semble partagé par tout le monde : « pas une semaine ne passe sans qu’on ne parle d’une grosse attaque informatique ou d’une importante affaire de cyberespionnage ». Il ajoute ensuite que « de plus en plus de nations développent ces capacités offensives. Celles-ci font désormais partie des nouveaux systèmes d’armes que chaque grand pays veut posséder. C’est le cas notamment de l’Iran ou de la Corée du nord ».

Concernant la France, l'officier ne cache pas que le pays « dispose aujourd’hui de capacités offensives. C’est revendiqué, c’est écrit dans le Livre blanc sur la défense et la sécurité nationale ». Avant de continuer de plus belle : « nous utiliserons ces capacités de la même façon que les armées. À partir du moment où nous mènerons des opérations militaires autorisées dans tel cadre contre tel type d’ennemi, nous utiliserons aussi ces capacités ».

Mais comment se place la France vis-à-vis des États-Unis ? Sans grande surprise, la NSA a largement plus de moyens (l'affaire Prism en est un parfait exemple) tout en disposant d'une plus large « suprématie dans le cyberespace ». Il ajoute par contre que, « si l’on regarde nos alliés européens, les capacités sont tout à fait comparables et nous n’avons absolument pas à rougir ». Rien n'est prévu au niveau européen pour le moment.

Crédits : cherezoff/iStock/ThinkStock

Un nouveau bâtiment pour la DGA/MI : un « laboratoire P4 » dédié au cyber monde

Mais au-delà des simulations d'attaque et de défense, la France vient de commencer la construction du nouveau bâtiment de « très haute sécurité » de DGA/MI (Direction Générale de l'Armement Maitrise de l'Information, anciennement CELAR) de 10 000 m² à Bruz en Ille-et-Vilaine.

Il est destiné à accueillir des activités de types « expertise technique » sur des plateformes nécessitant un haut niveau de sécurité et de cloisonnement. En rapport avec les laboratoires de recherche sur les virus les plus dangereux du monde (Ebola et Variole par exemple), le ministère de la Défense le compare à un « laboratoire P4 », mais dédié au monde du « cyber ».

Son rayon d'action est donc relativement large. Selon le ministère de la Défense, il concerne les points suivants :

Architecture et ingénierie des systèmes

Expertise et évaluation de l'utilisation du spectre des fréquences et des réseaux télécoms

Spécification, évaluation et validation des systèmes de commandement et de communication

Spécification et évaluation des systèmes de renseignement (capteurs spatiaux, drones )

Évaluation de la sécurité des systèmes d'information, conception et évaluation de produits de sécurité

Évaluation des performances de systèmes d'armes, de guerre électronique et de guerre optronique

Expertise et évaluation des systèmes de missiles tactiques et stratégiques

Expertise de composants électroniques spécifiques pour la défense

Comme le rappel la SGDSN, « le numérique offre de formidables opportunités. Il expose également à des risques de grandes ampleurs qui touchent les individus, les entreprises et les États et limitent leur autonomie ». Si l’on met bout à bout l'exercice Defnet 2014, la mise en place de son nouveau centre technique ainsi que la mise en œuvre des articles phares de la loi de programmation militaire, le message qui veut être diffusé est clair : la France est prête, ou du moins se prépare, et elle veut le faire savoir. Néanmoins, cela ne devrait pas être suffisant pour ébranler la suprématie des États-Unis dans ce domaine...