Récemment, Daniel Ventre de la chaire cyber de Saint-Cyr m’a demandé mon analyse sur l’affaire TV5 monde. Je vous la livre ci-dessous.

Source

Cyber attaques contre TV5

Les attaques contre TV5 monde viennent de placer à nouveau la cybersécurité sur le devant de la scène française. Cet acte était-il prévisible, et que pouvons-nous faire dorénavant pour éviter la répétition de telles mésaventures ?

Cette attaque n’est pas, comme beaucoup s’en font l’écho, sans précédent, même si son ampleur et sa durée interpellent. Souvenons-nous des attaques en Estonie et Géorgie, de Stuxnet et Shamoon, des mésaventures de Sony Pictures. Toute entreprise publique ou privée connectée d’une manière ou d’une autre au cyberespace doit se tenir au courant de l’évolution des menaces et des risques dans tout le cyberespace et pas seulement dans la portion correspondant à son domaine d’activité. Répéter après chaque attaque massive « il y aura un avant et un après… » n’a qu’une valeur incantatoire car, de fait, les dirigeants des entreprises appartenant à un autre secteur d’activité que celui touché ne se remettent pas en question : « La problématique pour les médias est qu’aujourd’hui ils ne perçoivent pas la sécurité informatique et physique comme une priorité et n’ont pas forcément réalisé les investissements ad hoc », souligne David Grout, d’Intel Security, spécialisée dans la sécurité informatique. (Le Point)

Il est d’usage de dire que cette cyber attaque a réussi. Là encore, il faut se garder de toute parole hâtive, car comme ce fut le cas pour Sony Pictures, nous voyons qu’il y a des dégâts apparents et, vraisemblablement, des dégâts réels. Les dégâts apparents sont l’impossibilité d’émettre, ce qui est un réel problème pour un média international, mais si la volonté des attaquants était de transmettre leur propagande via le canal de TV5, l’attaque a échoué. Cependant, la divulgation (non confirmée : «Le ministère de la Défense est en train de vérifier l’authenticité des documents postés par les cyberpirates»-Le Figaro) de données personnelles de militaires engagés dans les combats menés par notre pays au sein de la coalition contre Daesh peut être un dégât réel. Si tel était le cas, qui ferait le lien entre l’assassinat de la famille d’un militaire et le piratage du site de TV5 ? « En cet instant, à l’aide d’Allah, le Cybercaliphate est en train de rechercher les familles des militaires qui se sont vendus aux Américains et servent à la base navale Camp de la Paix et à bord du Charles de Gaulle. Les kafirs français, si vous voulez sauver vos familles, vous devez abandonner l’idée de la participation à l’opération contre l’État islamique. C’est seulement comme ça que vous pouvez éviter le châtiment et sauvegarder vos vies et celles de vos proches. »

Dans ce type d’attaques, l’identification de l’auteur n’est pas prioritaire, le mode de revendication ayant évolué depuis les années 80 (si le mouvement «CyberCaliphate» se réclame de l’État islamique, ce dernier n’a jamais reconnu une quelconque filiation avec les pirates. Le groupe terroriste n’a d’ailleurs jamais revendiqué directement leurs cyberattaques. -Le Figaro). Le cyberespace permet une décentralisation de l’action jusqu’alors impossible. La revendication à laquelle les États victimes d’actes de terrorisme étaient habitués n’a donc plus lieu d’être, chaque organisation terroriste pouvant adouber a posteriori n’importe quel groupuscule dont l’action lui a paru pertinente.

D‘autres aspects inquiètent : Alors qu’ils étaient 4 ce matin, les techniciens de l’agence sont désormais au nombre de 13 pour tenter de comprendre les contours de cette entreprise de hacking. Selon l’Anssi, plusieurs jours devront être nécessaires pour stopper cette attaque – Le Figaro. Ceci rappelle le piratage de Bercy suite auquel l’ANSSI s’était aperçue que le système d’information du ministère n’était pas cartographié. De ce fait, l’ANSSI avait passé plusieurs jours à le cartographier avant de pouvoir travailler effectivement à la résolution du problème.

Finalement, que conclure ? Que cette cyberattaque n’apprend pas grand-chose mais confirme ce qui est répété depuis des années. Il y a quatre ambiguïtés dans toute cyberattaque : la source, le dommage, le moyen et la finalité.

Malgré sa répétition, le message de prévention n’a toujours pas atteint les entreprises, vraisemblablement parce que leurs dirigeants ne l’estiment pas prioritaire.

Pour minimiser la réussite d’une cyberattaque il faut revenir aux fondamentaux. C’est-à-dire recenser les informations et les matériels (serveurs, routeurs, etc.) dont dispose l’entreprise et évaluer leur sensibilité, puis mettre en place (et contrôler) les mesures physiques et logiques de protection de l’information et surtout, ne pas oublier de cartographier le système d’information. Ceci prend du temps et peut coûter cher. Mais c’est à ces seules conditions que les entreprises cesseront d’être des cibles faciles.

Prochaine cible ? Un hôpital, peut-être militaire, car il recèle de données confidentielles dont la protection n’est sûrement pas assurée puisque les soins sont le cœur de métier de l’hôpital…