Alerte rouge sur la sécurité de l’Etat : Bercy fait tomber 30 000 de ses agents dans le piège d’un mail piraté et révèle l’ampleur de la vulnérabilité des administrations françaises

Atlantico : Le ministère des Finances a monté une fausse opération de « phishing » auprès de ses fonctionnaires. Le bilan est dramatique, sur près de  145 000 fonctionnaires, 30 000 ont cliqué sur le lien qui leur avait été envoyé par mail et qui leur promettait de « gagner des places de cinéma ». Qu'est-ce que cela révèle de la formation des fonctionnaires en France sur les thématiques de cybersécurité? Quels sont les risques d'un tel défaut de formation ?

Franck DeCloquement : Le ministère des Finances a en effet procédé à un « pen test » de très grande ampleur, lundi 2 octobre entre 10h et midi, à des fins de prévention. Autrement dit, à un test de pénétration « grandeur nature »— par des moyens informatiques dédiés et dans des conditions réelles d’exécution — bien que contrôlées. Et ceci, comme auraient pu le faire eux-mêmes des prédateurs extérieurs à cette administration, sur une population très large d’agents de l’Etat inconscients du danger. Certaines sources évoquent à ce propos le nombre faramineux de 145.000 collaborateurs testés, et soumis à cette épreuve de vérité. Toutes les personnes ciblées ont dès lors reçu des e-mails piégés, expédiés pour la circonstance à partir d’adresse mail de faux correspondants, répondant pour certains à des patronymes très évocateurs, faisant étrangement référence à des œuvres de la littérature française pourtant en mesure d’éveiller le doute ou le soupçon dans l’esprit des récipiendaires : « Thérèse Desqueyroux », « Jean-Baptiste Poquelin » ou encore « Emma Bovary »…

Cet envoi pernicieux invitait tous les destinataires visés par ce testing, à gagner le plus simplement du monde de simples places de cinéma… L’empiégeage a fonctionné à plein. Et ceci, bien au-delà des craintes les plus folles de l’administration concernée comme vous l’évoquez dans votre introduction. Rappelons ici en quoi consiste le Phishing : « L’hameçonnage », « phishing » ou « filoutage » est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels, dans le but de perpétrer frauduleusement une usurpation d'identité. Wikipédia résume assez bien l’affaire en des termes simples : « la technique consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc. En effet, le plus souvent, une copie exacte d'un site internet est réalisée dans l'optique de faire croire à la victime qu'elle se trouve sur le site internet officiel où elle pensait se connecter. La victime va ainsi rentrer ses codes personnels qui seront récupérés par celui qui a créé le faux site, il aura ainsi accès aux données personnelles de la victime ».

Dans le cas qui nous occupe, « plus de 30.000 personnes ont cliqué sur les liens entre 10 heures et midi lundi matin. » Ce qui est énorme comme le rapporte en substance le Figaro. Les agents ainsi piégés par les services de sécurité des systèmes informatiques du ministère des Finances ont tout simplement vu s'afficher une page Web informative comprenant les recommandations d'usage sur les e-mails, ainsi que les précautions très simples à prendre. « C'est aussi un moyen de tester nos procédures d'urgence », renchérit Yuksel Aydin dans les colonnes du Figaro, sans doute soucieux de démontrer que la cybersécurité ne passe pas uniquement par des lignes complexes de code, mais pour l’essentiel par une sensibilisation de bon aloi des usagers.

Au final est-ce que, malgré les meilleures protections informatiques du monde, l'élément humain est la meilleure porte d'entrée dans des systèmes technologiques ?

Comme tous les prédateurs avisés le savent, pour pénétrer à l’intérieur d’un dispositif technologique complexe, il faut parfois savoir allier des techniques informatiques les plus sophistiquées avec d'autres approches beaucoup plus rustiques et pernicieuses. Et celles-ci reposent en effet le plus souvent sur des techniques de manipulation des « vulnérabilités humaines », à des fins criminelles. Au sein des catégories d’actions répréhensibles visant à l’interception des nos données personnelles qui transitent sur les réseaux, certaines se concentrent sur la manipulation des facteurs relevant de la psychologie humaine. C’est notamment le cas des « scams ». Autrement dit, des escroqueries en langue anglaise qui agissent par actions combinées de « spear-phishing », de « spoofing » ou de « pharming »…  L’ingénierie sociale et les attaques sur les vulnérabilités ayant trait au caractère humain sont au cœur des processus d’usurpation d’identité mise en œuvre par les cybercriminels. Et ceci s’effectue toujours sur la base d’une grande maitrise de la psychologie, pour parvenir à en exploiter les failles opportunes, à dessein : « Manipuler, c’est intervenir par des actions de communication sur des éléments constitutifs de la situation de communication. En modifiant ces éléments, on change la structure de la situation et donc le sens de ce qui s’y déroule. » Cette définition éclairante d’Alex Mucchielli dans son ouvrage « l’Art d’influencer », nous explique simplement comment toute stratégie de manipulation efficace repose en définitive sur des processus interpersonnels subtils et sous-jacents, très communément à l’œuvre dans les interactions humaines. Ceux-ci se déroulent le plus souvent en deçà du seuil de notre conscience individuelle ou collective. En effet, pour être opératoire, la manipulation doit toujours s’effectuer à l’insu de la victime manipulée, à l’abri d’une certaine « méconnaissance » des fins poursuivies par le manipulateur. Car la révélation manifeste des procédés d’influence à l’œuvre, la neutraliserait instantanément. Les techniques de manipulation sont légion. Les profils de manipulateurs aussi… Il existe concomitamment, différents profils d’« assaillants » manipulateurs, qui se distinguent essentiellement par l’approche spécifique qu’ils mettent en œuvre pour soumettre autrui, et parvenir à leurs fins. De manière très schématique ici, il est possible d’en dresser rapidement quelques portraits types : « Les conspirateurs », « les dévalorisateurs », « les séducteurs », « les partisans de l’exagération », « les malchanceux, et éternelles victimes », « les sauveurs », etc…

Il existe une différence notable entre ce qui détermine un comportement individuel extérieur spécifique, et sa signification profonde. On considère plus généralement que la détermination d’un comportement individuel apparent relève d’une analyse de la causalité des faits (cause et conséquence). Dans cette perspective théorique, le comportement individuel est envisagé comme une manifestation extérieure, en congruence avec les émotions et les motivations internes de la personne humaine qui les ressent. C’est le principe de l’attribution causale. Néanmoins, et quand on les interroge à ce sujet, les individus ont toujours tendance à privilégier l’influence de leur personnalité propre, lorsqu’ils sont tenus de fournir une explication sur leur comportement personnel. Ils le font souvent au détriment d’éventuelles raisons externes (contexte dans lequel s’est produit le comportement spécifique). C’est à cet Art subtil que sont rompus les prédateurs agissant dans ce registre d’action malveillante, pour parvenir à leurs fins.

Comme tout à chacun peut le constater chaque jour par ailleurs, la réception massive de courriels parasites et potentiellement infectés, restent sur la toile mondiale une véritable plaie pour les internautes. Nous indiquions d’ailleurs dans un précédent article paru sur ATLANTICO consacré au « Spear Phishing », qu’ils sont aussi le moyen basique et le vecteur idéal pour pénétrer frauduleusement dans les installations informatiques des entreprises, des administrations ou des particuliers, afin de collecter des informations confidentielles ou des données stratégiques à haute valeur ajoutée, aisément monnayables sur le Darknet. Des solutions technologiques existent bel et bien, comme utiliser des outils de filtrage ou de blocage. Mais leur efficacité réelle reste toute relative… L'idée serait alors de couper le flux amont — à la source — avant que ces messages très intrusifs et souvent dangereux ne pénètrent à flux continu, dans les boîtes mails de tous les internautes.

Comment faire en sorte alors de minimiser le « risque humain » selon vous ? Est-ce que des formations suffisent ou est-ce que tout est à repenser en la matière ?

Sensibiliser continuellement toutes les parties prenantes aux réalités des vulnérabilités humaines et des menaces dans notre écosystème digital, procède d’une démarche responsable. Il est évidemment très difficile pour les particuliers que nous sommes tous, de contre parer avec tout l’à propos requis, des attaques informatiques de plus en plus sophistiquées et ingénieuses dans leur mise en œuvre. D’autant plus quand les messages proviennent de tiers de confiance, non-identifiés comme « véreux ». L'industrie de la cybersécurité milite en effet puissamment pour l'adoption de nouvelles mesures et règles de protection globales, qui pourraient protéger nos boîtes mails de ces envois pernicieux pouvant être autant de chevaux de Troie mis à profit par les prédateurs informatiques. Le « DMARC » est par exemple un registre mondial qui permet aux fournisseurs et aux hébergeurs de services de distinguer les sociétés d’envois de « mailing de masse » classiques, des « spammeurs » patentés qui prétendent faire partie de cette même catégorie d’opérateurs, mais proviennent en réalité d'une adresse non enregistrée dans ce registre identification... Toutes ces solutions semblent prometteuses sur le papier, mais comme avec la plupart des réponses innovantes proposées, cela oblige aussi toutes les parties prenantes à se mettre d’accord d’emblée sur les modalités communes à adopter. Ce qui n’est pas une mince affaire et risque de s’avérer très chronophage à mettre en place, au regard du risque encouru pour toutes nos boîtes emails.

Les nouveaux usages du numérique posent des défis totalement inédits en matière de cybersécurité. Nous le rappelions il y a peu, ici même, dans les colonnes d’ATLANTICO. Pas de solution miracle en vue dans les faits, dès lors qu’il est nécessaire de passer par un sous-traitant de services informatiques non sécurisés. En outre, il est devenu très difficile pour les particuliers que nous sommes, de contrecarrer des attaques informatiques de plus en plus sophistiquée, via des spams de plus en plus ciblés (spear Phishing),  avec les moyens du bord disponibles dans nos foyers. D’autant plus quand les messages proviennent d’entreprises de données d'hébergement situées en France, mais qui ne sont pas incluses sur les principales  « listes noires » des hébergeurs. La discrimination n’est pas aisée pour les particuliers, voire impossible. Il semble ne pas y avoir de solution simple et univoque. Comme chacun le sait, il est toujours très difficile pour un particulier ou un collaborateur « d’authentifier » à coup sûr, un message « entrant » qui se présente comme un email parfaitement classique… Et quand bien même, il est extrêmement difficile de se prémunir des contres-façons en la matière. Les particuliers sont jugés trop peu sensibilisés aux cybers-risques, par les spécialistes. Quant aux salariés, ils ne le sont pas assez à 41%, et très peu enclins à respecter scrupuleusement les recommandations de leur service de sécurité informatique interne à 52% comme le mettait en lumière il y a quelques mois, le dernier rapport du Club des experts de la sécurité de l’information et du numérique, le CESIN.

Les buts induits par une usurpation de mail personnel ou une contrefaçon de mail d’entreprise « offreuse de services » peuvent être multiples : surfacturation de services en ligne non souscrits, intrusion dans le répertoire mobile de la cible, via l’activation ou le téléchargement frauduleux d’un malware (logiciel malveillant), particulièrement puissant, etc… La liste peut être longue. Tous les professionnels du secteur de la sécurité informatique s'attendent encore à une recrudescence et une intensification des attaques cette année. Ce qui oblige chacun à travailler autour des nouveaux usages du numérique et de leur utilisation frauduleuse par des criminels informatiques avertis. Mais aussi, par une multiplication des retours d’expériences entre professionnels et experts.  Le ministère des Finances ne va pas s'en tenir à cet essai et compte mener d'autres opérations de ce type, elles aussi dans le cadre du mois européen de la cybersécurité. Avec l'appui d'associations de consommateurs, tel l'Institut national de la consommation, le Ministère des finances a élaboré un mémento sur la cybersécurité dédié au grand public, accessible via ces associations. Une autre version a été rédigée à destination des créateurs d'entreprises, avec l’intégration de nombreux conseils pratiques.

Dès 2005, l’ancien hacker « Black Hat » repenti Kevin Mitnick dans son Best Sellers « the Art of Deception » ; autrement dit : « l’Art de la tromperie » ; se proposait d’exposer tous les scénarios d'arnaques et d'escroqueries possibles, basés sur « l'art de la persuasion et de la manipulation »… Par ce biais, Mitnick qui voulait en démocratiser la connaissance, démontrait que les vulnérabilités humaines se devaient d’être au centre des politiques de protection des données personnelles. Qu’elles pouvaient être testées de la même manière que l’on test du matériel informatique. De son point de vue, aucun « pare-feu » ou protocole de cryptage ne seraient jamais assez efficace et « intelligent » pour stopper des individus parfaitement motivés, ou des organisations criminelles déterminées à ravir des données confidentielles…  Le facteur humain est donc l’élément clé et le « point nodal » des actions de prévention en la matière. Mais c’est aussi le « maillon faible » des dispositifs de sécurité en matière de NTIC. Un personnel peu ou mal informé, ou des collaborateurs qui ne respectent pas les consignes strictes de sécurité par déloyauté ou simple défiance, constitueront à coup sûr des points d’entrées et des cibles privilégiées pour tout hacker belliqueux qui se respecte. L’entrée dans l’ère digitale et des données de masse a eu tendance à faciliter les actions subversives, et à en démultiplier les effets dévastateurs et pernicieux. Offrants aux truands de tous poils, l’occasion rêvée d’exercer anonymement leur Art en toute discrétion, et d’accélérer consécutivement la diffusion de leurs méthodes frauduleuses chez les apprentis pirates…