L’inquiétante vulnérabilité des collectivités territoriales face aux cyberattaques

ATLANTICO : Pouvez-vous nous expliquer le fonctionnement de ce type de cyberattaque ? Comment se fait-il qu'une ville telle que Marseille ne se protège pas mieux face à de tels agissements ?  

Franck DeCloquement : Une cyberattaque paralyse, en effet, depuis  plus d’un mois après sa détection, certains services de la ville de Marseille et de la métropole Aix-Marseille-Provence. Une collectivité qui regroupe 92 communes dans le Sud-Est de la France. Pour l’heure, le retour à la normale n’est toujours pas prévu avant la fin du mois de mai. 

En l’état, deux virus paralysent si l’on peut dire dans les Bouches-du-Rhône, la métropole d’Aix-Marseille-Provence : l’agent pathogène responsable du confinement pour lutter contre l’épidémie de Covid-19 qui a commencé le 16 mars dernier, mais aussi cette cyber-attaque survenue deux jours plus tôt… Les systèmes d'information qui se baseraient selon certaines sources locales sur un volant de 1 300 serveurs, un parc de 6 000 ordinateurs et 450 applications métiers, sont devenus parfaitement inaccessibles puisque totalement cryptés. Pire encore, les sauvegardes de toutes ces données qui permettent d'administrer efficacement la vie de la cité phocéenne ont-elles aussi subi partiellement le même sort funeste…

Comble de l’actualité, la réalité rejoignant très souvent la fiction, la célèbre série à succès de CANAL+ « le bureau des légendes », dans l’épisode 6 de sa nouvelle saison 5, met en scène une attaque de cette nature, du point de vue des agresseurs Russes, à partir d’une base proxy-asiatique. Mais aussi, du point du vue des services du renseignement extérieur français qui observent très attentivement l’action, et de la RSSI (Responsable de la sécurité des systèmes d'information) de l’hôpital impacté par cette attaque au rançongiciel. « César Morin », alias « Pacemaker », interprété par l’acteur Stefan Crepon (le prodige informatique infiltré de la DGSE qui dirige désormais un commando de hackeurs depuis Phnom Penh), et lui-même aux commandes de cette action délétère à plusieurs étages.  

L’enquête en cours a été confiée à la sous-direction de la lutte contre la cybercriminalité de la police nationale, ce qui explique aussi que très peu d’informations techniques et de détails précis ont été publiés sur les modalités d’attaque des pirates. Tout juste sait-on qu’il s’agit d’une attaque basée sur la méthode du rançongiciel : celle-ci empêche en quelque sorte l’accès aux machines de l’institution visée, en chiffrant l’ensemble des machines contaminées. L’objectif final recherché pour les agresseurs étant d’exiger une rançon payable en bitcoins, afin que l’institution impactée recouvre ses données compromises. Dans la majeure partie des cas, une fois payés, les pirates ne restituent jamais celles-ci. 

Marseille et sa Métropole demeurent donc encore très largement affectées pendant cette période de confinement où le télétravail est de rigueur pour un grand nombre de nos concitoyens. A ce propos, afin de pouvoir fonctionner en télétravail, les agents administratifs ont été fortement encouragés par leur hiérarchie à utiliser un accès internet, via un réseau Wi-fi personnel. Les accès internet de la Métropole ayant été naturellement tous coupés pour des raisons évidentes de sécurité. Inédite par son ampleur selon les spécialistes, cette action malveillante a été qualifiée de « massive et généralisée » par la deuxième ville de France. Ce sont en définitive l'ensemble des services numériques de la Métropole qui ont été visiblement compromis à différents degrés de gravité, dont notamment les systèmes d'information et de gestion des ressources humaines, de la paye, des finances : « Nos serveurs ont été cryptés à hauteur de 90% contre une demande de rançon », a indiqué la Métropole qui l’obligera nécessairement à reconstruire un système informatique complet compte tenu des dégâts occasionnés. 

À lire également : L’autre virus qui laisse le gouvernement à nu : révélations sur la cyberattaque qui a désorganisé Marseille

Une rançon a été demandée, et 90% des serveurs ont été cryptés. En période de confinement et de télétravail, pensez-vous que cette attaque est de nature politique ? 

Difficile à dire pour l’heure, sans une attribution de l’attaque à des opérateurs identifiables. La chose n’est pas des plus simples, à la différence de ce que nous laissent croire les fictions télévisées.  

En matière de remédiation, et comme l’indiquent nos amis de « cybermalveillance.Gouv.fr » sur leur site dédié : « les rançongiciels (ransomwares en anglais) sont des logiciels malveillants qui bloquent l’accès à l’ordinateur ou à des fichiers en les chiffrant, et qui réclament à la victime le paiement d’une rançon pour en obtenir de nouveau l’accès. 

La machine peut être infectée – par exemple – après l’ouverture d’une pièce jointe malveillante associée au mail initialement reçu, ou après avoir cliqué sur un lien malveillant intégré dans des courriels. Ou parfois simplement en naviguant sur des sites compromis, ou encore suite à une intrusion sur le système. Dans la majorité des cas, les cybercriminels exploitent des vulnérabilités connues dans les logiciels, mais dont les correctifs n’ont pas été mis à jour par les victimes. » Le but recherché est en ce sens assez simple : extorquer de l’argent à la victime en échange de la promesse (très rarement tenue) de retrouver l’accès à l’intégralité des données chiffrées. Certaines attaques visent parfois simplement à endommager le système informatique de la victime, pour lui faire subir des pertes d’exploitation et porter atteinte à son image ou sa réputation. D’autres ne sont que des actions en trompe-l’œil visant à détourner l’attention par la ruse, afin de mener en parallèle d’autres exactions ou pénétration plus stratégique, sous couverture. Ce que l’épisode 6 de la série  « Le bureau des légende » montre très bien. Derrière ces actions, se cachent donc parfois des individus extérieurs poursuivant des buts personnels (vengeances, chantages, challenges entre pirates, etc.), des Etats ou des concurrents commerciaux agissant à partir de l’étranger, des mafias ou des criminels agissants en bandes organisées, ou d’individus en interne (« ennemis de l’intérieur ») disposant des éléments d’’informations nécessaires et suffisants pour compromettre un parc informatique très important, puisque détenteurs des codes d’accès confidentiels. Cette courte liste n’est évidemment pas exhaustive, loin s’en faut et ne sert que d’illustration à nos propos. 

Les pirates doivent aussi savoir qu’ils risquent gros en cas d’infractions constatées, s’ils étaient identifiés. Et en fonction du cas d’espèce, les infractions suivantes peuvent être retenues :

De tels procédés relèvent de « l’extorsion de fonds » et non de « l’escroquerie ». En effet, ils se caractérisent par une contrainte physique – le blocage de l’ordinateur ou de ses fichiers – obligeant à une remise de fonds non volontaire. L’article 312-1 du Code pénal dispose que : « l’extorsion est le fait d’obtenir par violence, menace de violences ou contrainte soit une signature, un engagement ou une renonciation, soit la révélation d’un secret, soit la remise de fonds, de valeurs ou d’un bien quelconque. L’extorsion est passible de sept ans d’emprisonnement et de 100 000 euros d’amende ».

L’infraction d’atteinte à un système de traitement automatisé de données (STAD) pourra aussi être retenue (article 323-1 du code pénal) soit du fait d’une modification frauduleuse de données soit d’une entrave au bon fonctionnement d’un STAD. La loi du 24 juillet 2015 relative au renseignement a doublé les peines d’amende encourues de 75 000 à 150 000 euros.

Par ailleurs, et depuis 2013, la détention ou la cession d’un rançongiciel, sans motif légitime, est passible des mêmes peines. Dans le cadre des atteintes aux STAD, la circonstance aggravante de bande organisée est très souvent retenue. En effet, la commission de ces infractions requiert en principe la mise en œuvre de différentes compétences et donc l’intervention de plusieurs personnes pour la conception, l’injection du virus, l’expédition du mail infecté, la collecte de la rançon.

Que peuvent faire les villes - et les particuliers - face à ces attaques ? Comment palier à ce phénomène qui semble prendre de plus en plus d’ampleur ?

Que faire si vous êtes victime de rançongiciels (ransomwares) ? Suivre par exemple assidument les conseils que délivrent avantageusement les spécialistes de cybermalveillance.Gouv.fr. 

- En matière de prévention : il est nécessaire d’appliquer de manière très régulière et systématique les mises à jour de sécurité du système et des logiciels installés sur votre machine. Il est également nécessaire de tenir à jour l’antivirus et de configurer votre « pare-feu/Firewall », mais aussi de vérifier qu’il ne laisse passer que des applications, services et machines légitimes. 

N’ouvrez jamais les courriels, leurs pièces jointes, et ne cliquez par sur les liens provenant de chaînes de messages, d’expéditeurs inconnus ou d’un expéditeur connu, mais dont la structure du message est inhabituelle ou vide. N’installez pas d’application ou de programme « piratés » ou dont l’origine ou la réputation sont plus que douteuses… Évitez la fréquentation assidue de sites non sûrs ou illicites tels que ceux hébergeant des contrefaçons (musique, films, logiciels…), ou bien certains sites à caractère pornographique qui peuvent injecter du code malveillant en cours de navigation, afin d’infecter votre machine en profondeur. Faites des sauvegardes très régulières de vos données et de votre système d’information pour pouvoir le réinstaller dans son état d’origine au besoin. N’utilisez pas un compte avec des droits « administrateur » pour consulter vos messages ou naviguer sur Internet. Utilisez uniquement des mots de passe suffisamment complexes, et changez-les très régulièrement. Mais vérifiez également que ceux créés par défaut soient effacés s’ils ne sont pas tout de suite changés... Éteignez votre machine lorsque vous ne vous en servez pas. 

- En cas d’attaque avérée : il s’agira de débrancher la machine corrompue d’Internet ou du réseau informatique général : pour cela débranchez le câble Ethernet de votre ordinateur ou de votre serveur, ou bien désactivez la connexion Wi-Fi de vos appareils. En entreprise, alertez immédiatement votre service ou votre prestataire informatique si vous en disposez, afin qu’il puisse intervenir sur le champ et prendre les mesures curatives nécessaires si besoin.

Ne payez jamais la rançon réclamée par les agresseurs car vous n’êtes pas certain de récupérer vos données. C’est d’ailleurs très rarement le cas. De plus, vous alimenteriez le système mafieux ou criminel qui se cache souvent derrière ce type d’attaques au chantage de données. Conservez ou faites conserver les preuves par un professionnel, notamment un exemple de message piégé, les fichiers de journalisation (logs) de votre pare-feu, des copies physiques des postes ou serveurs touchés (à défaut, conservez leurs disques durs), et quelques fichiers chiffrés qui pourront vous servir pour signaler cette attaque aux autorités et qui seront des éléments d’investigation. Déposez plainte auprès des autorités compétentes : en parallèle de la résolution technique de votre incident, déposez plainte au commissariat de police ou à la brigade de gendarmerie dont vous dépendez. Vous pouvez également adresser votre plainte par écrit au procureur de la République du tribunal de grande instance dont vous dépendez, sans oublier de fournir toutes les preuves en votre possession.

Si vous êtes un particulier, vous pouvez être accompagné gratuitement dans cette démarche par une association de « France Victimes » au 116 006 (appel et service gratuits), numéro d’aide aux victimes du ministère de la Justice. IOl s’agit d’un service ouvert 7 jours sur 7 et de 9h à 19h. Faites-vous, au besoin, assister par un avocat spécialisé. Il est important de garder à l’esprit que le dépôt de plainte doit intervenir avant la réinstallation des appareils touchés, de manière à conserver l’entièreté des preuves techniques de l’incident, et pouvoir ainsi les fournir aux enquêteurs.

Concernant les professionnels – notifiez cette infection à la CNIL s’il y a eu une violation de données à caractère personnel : si l’attaque par un rançongiciel avait pour conséquence une indisponibilité, une modification ou une suppression de données à caractère personnel, et/ou si les données sont divulguées de manière illicite (pour faire pression pour le paiement de la rançon par exemple), vous pourriez être dans l’obligation de notifier l’incident à la CNIL voire aux personnes concernées. Vous devrez notamment préciser :

– la nature de la violation,

– les catégories et le nombre approximatif de personnes concernées par la violation,

– les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés,

– les conséquences probables de la violation de données,

– les mesures prises ou que vous envisagez de prendre pour éviter que cet incident se reproduise ou atténuer les éventuelles conséquences négatives.

- Identifiez la source de l’infection et prenez les mesures nécessaires pour qu’elle ne puisse pas se reproduire. En règle générale, l’infection peut provenir de l’ouverture d’une pièce jointe ou d’un clic sur un lien malveillant contenu dans un courriel (mail), l’utilisation d’une faille de sécurité, en naviguant sur un site malveillant ou bien encore d’une intrusion dans le système informatique depuis ses accès ouverts sur l’extérieur (travail à distance, maintenance…).

- Faites une analyse antivirale complète de votre appareil : réalisez avec votre antivirus, ou faite réaliser une analyse approfondie de votre appareil (forensic légal). Au préalable, n’oubliez pas de le mettre à jour.

- Essayez de déchiffrer les fichiers si une solution existe. Le site « No More Ransom » peut fournir des solutions de déchiffrement qui peuvent fonctionner dans certains cas.

- Réinstallez les systèmes touchés : en cas de doute, effectuez une restauration complète de votre ordinateur. Reformatez les postes ou serveurs touchés, effectuez ou faites effectuer une réinstallation complète de ces équipements puis restaurez les données depuis une sauvegarde extérieure réputée « saine ».

- Faites-vous assister au besoin par des professionnels qualifiés et certifiés. Vous trouverez sur www.cybermalveillance.gouv.fr des professionnels en sécurité informatique susceptibles de pouvoir vous apporter leur assistance.