Un monde 100% piratable ? TV5 mais aussi centrales nucléaires, avions, hôpitaux… panorama des cibles à la merci des hackers

Atlantico : Des "hackers" se revendiquant de l'Etat islamique ont réussi à pirater la chaîne TV5 Monde. Ce n'est pas la première fois que des assaillants réussissent une intrusion au sein du réseau d'un média français (Le Monde avait subi les mêmes attaques de la part de "l'Armée electronique syrienne"). Dans l'absolu, hormis les médias, qu'est-ce qui est "hackable" ?

Gérome Billois : L’idée est simple : tout ce qui est informatisé peut potentiellement être attaqué. Cela ne veut, bien-sûr, pas dire qu’il le sera et qu’il n’a pas été sécurisé. D’un point de vue théorique, des chercheurs en sécurité essaient de tester ce qui est vraiment piratable et ce qui ne l’est pas. Des essais ont été effectués sur des voitures et ont plutôt réussi. Des tentatives sur les avions n’ont, par contre, pas entièrement porté leurs fruits. Des tentatives sur les systèmes médicaux dans les hôpitaux ont montré qu’une attaque était possible, y compris sur les pacemakers dont on peut altérer le fonctionnement.

D’autres systèmes sont conçus pour ne pas pouvoir être contrôlés de l’extérieur. On pense notamment aux centrales nucléaires où des "sécurités physiques" sont installées en plus des sécurité logiques (les antivirus, un pare-feu…). Mais cela dépend beaucoup, dans les faits, des centrales, qui sont présentes dans le monde entier. Et les informations ne sont pas forcément partagées sur ce que doit être le niveau de sécurité minimum pour éviter ce type d’attaque.  

Cependant, si vous mettez, à un moment, tous les efforts nécessaires en termes de temps et d’expertise, tout système peut lâcher. C’est un peu comme le blindage sur un tank : forcément, à un moment, quelqu’un va réussir à concevoir un missile qui saura le percer. On est dans un cycle permanent où l’on est en observation de la part des cybercriminels et des experts en sécurité qui ont une capacité de réaction lorsqu’un système se retrouve attaqué.

Selon vous, parmi la liste des attaques théoriques, quelles sont celles pour lesquelles la France a une protection efficace et celles où notre niveau de défense est aujourd'hui vraiment insuffisant par rapport au potentiel des assaillants ? 

Michel Nesterenko : Le gouvernement ne met pas les moyens nécessaires à la cyberdéfense. L’armée s’en occupe, bien sûr, mais avec des moyens très insuffisants. Pour garantir une vraie protection, il faudrait embaucher au moins, en une année, 3000 à 4000 jeunes programmateurs informatiques sortis de l’université, pour les intégrer ensuite à la cyberdéfense française. Mais les priorités politiques actuellement sont ailleurs… Il y a six mois, on parlait encore de réduction des effectifs de la Défense. Et maintenant que l’on envisage de repartir avec des effectifs à la hausse, le budget, lui, n’augmente pas. Nous sommes dans une situation d’incurie dans ce domaine. Il faudrait aussi être capable de se projeter dans l’espace pour pouvoir contrôler les bandes passantes, pour que l’armée puisse ramener des informations par le biais satellitaire. Ce sont des milliards d’investissement. Les Américains, les Russes, les Chinois, et même les Israéliens, le font. Nous, non.

Gérome Billois : En France, personne n’a fait le travail nécessaire (à part peut-être l’Agence nationale de sécurité des systèmes d’information) d’évaluer le niveau de sécurité des opérateurs d’importance vitale, celles qui font tourner le pays. Donc on n’a aucune vision complète du niveau de sécurité.

Quelles peuvent être les conséquences d'une attaque réussie de la part de hackers ? Avons-nous les moyens de nous retourner pour échapper à une prise de contrôle, où serions-nous totalement dépendant d'un groupe qui réussirait à prendre le contrôle ? 

Gérome Billois : C’est effectivement une question d’importance stratégique, celle de savoir comment se retourner face à une attaque réussie. C’est-à-dire de pouvoir proposer une réponse "déconnectée" mais qui fonctionne toujours. Il faut donc savoir aller vers la transformation numérique tout en étant capable de détecter les attaques numériques (parfois, nous intervenons sur des attaques qui ont commencé plusieurs mois avant leur détection), mais aussi fonctionner sans un ensemble de systèmes non-essentiels.

François-Bernard Huyghe : Une notion clef, c’est "la résilience". On part du principe qu’un jour ou l’autre on subira une attaque. Et la question est : comment réagit-on ? Ce principe doit apporter une réponse à une paralysie centrale qui pourrait survenir. La France peut faire des progrès, notamment dans la coopération entre les différents acteurs publics, mais la France n’est pas forcément un mauvais élève. Et beaucoup de grandes entreprises prennent leur cybersécurité au sérieux. Mais le problème dans un grand pays comme la France… c’est qu’il existe beaucoup de cibles potentielles !

Michel Nesterenko : Les Américains ont mis au point des mesures de rétorsion pour détruire, dans les pays étrangers, des systèmes informatiques, voire éliminer physiquement des pirates informatiques. De notre côté, rien du tout, nous ne pouvons pas nous retourner. Il suffit de voir comment TV5 a été bloquée. Vous noterez au passage que c’est bien une chaîne française qui a été attaquée de la sorte, pas une chaîne américaine ou israélienne...

Les groupes proches de Daech ou d'Al-Qaïda pratiquent régulièrement des cyberattaques sur les médias. Mais ont-ils les moyens de viser d'autres cibles ? Jusqu'où va aujourd'hui leur réel potentiel de nuisance ?

François-Bernard Huyghe : Il semble que l’attaque qui a été perpétrée contre TV5 soit de haut niveau. En effet, les pirates ont, non seulement, réussi à pénétrer dans le système de la chaîne – ce qui n’est pas forcément le plus difficile – mais, une fois à l’intérieur, ils ont été capables de monter au cœur du système et de tout paralyser pendant plusieurs heures. Ce n’est pas à la portée d’un jeune hacker. Ils ont donc montré une vraie compétence technique. On peut donc penser qu’avec de telles compétences, on peut imaginer des attaques aussi bien sur le système des feux de circulation à Paris, des tours de contrôle des aéroports, la distribution d’électricité, Pôle emploi etc. Dans nos sociétés où tout est fait à distance, nous offrons des fragilités terribles. Si j’étais l'EI, à supposer que ce soit bien lui derrière tout ça, je viserais un peu plus qu’un média la prochaine fois…

On parle beaucoup des attaques des groupes terroristes, mais sont-ils ceux qui possèdent le plus fort potentiel de nuisance aujourd'hui ? Qui sont ceux qui, réellement, peuvent prendre le contrôle des réseaux français ?

François-Bernard Huyghe : En matière de sabotage informatique, la volonté d’arrêter un système, ceux qui ont le meilleur niveau sont les Etats-Unis. Je rappelle qu’ils ont réussi à retarder l’Iran pour son accession au nucléaire civil en sabotant à distance des usines d’enrichissement, ils l’ont quasiment reconnu officiellement. Plus généralement, les services d’Etat restent en avance. Les Russes par exemple ont une bonne capacité de perturbation sur des systèmes militaires adverses.

Hormis ces acteurs, la plus grande attaque de sabotage a été l’opération menée en 2012 contre la compagnie pétrolière Saudi Aramco qui a bloqué 30.000 ordinateurs pendant plusieurs jours et qui a coûté des millions de dollars. Cela a été revendiqué par un groupe chiite, Saudi Aramco symbolisant le pouvoir sunnite collaborateur… Etait-ce vrai ? Je n’en sais rien. Le problème des attaques de ce type étant évidemment qu’elles sont anonymes. Il est donc parfois difficile d’identifier qui sont vraiment les acteurs derrière les attaques. On peut dans le meilleur des cas identifier le pays de provenance de l’attaque.

Il existe aussi le cas de groupes mafieux, souvent basé dans l’Est de l’Europe, qui agissent comme de véritables mercenaires, en menant une cyber-attaque pour le compte d’un autre groupe.

Finalement, on a beaucoup parlé d’attaques menées par des groupes terroristes, dans les faits il y en a eu très peu de grande envergure, on a plutôt vu des prises de contrôle d’un site pour y afficher des slogans de propagande.

La France, à l'inverse, a-t-elle le potentiel de mener, de son côté, ce type d'attaque ? Quel dommage par exemple peut-on causer à des structures comme l'Etat islamique ou Al-Qaïda par notre seul potentiel de cyberguerre ?

François-Bernard Huyghe : Nous avons officiellement des armes cyber-offensives qui ont été évoquées dans plusieurs rapports. Nous pourrions faire de la rétorsion contre des gens qui nous attaqueraient. Mais à partir de là, l’information devient secrète. La DGSE a des éléments pour paralyser des ordinateurs, mais sans en dire plus. Le message envoyé est : la France a de bons ingénieurs et n’hésite pas à se défendre. Encore faut-il que nous sachions identifier d’où vient l’attaque. Et si nous le faisons, le problème est : quelles sont les cibles chez l’adversaire ? Quand on veut attaquer un pays, les cibles sont faciles à identifier (banques, énergie…), mais pour Daech, où sont les cibles ? Dans quelle mesure l'EI est-il vraiment dépendant des réseaux ? Je ne le sais pas. Espérons que les services français le savent.