Cyber attaques russes contre la France : sommes-nous capables d’éviter un potentiel Pearl Harbor numérique ?

Atlantico : Plusieurs services de l’État ont été l’objet d’attaques informatiques d’une « intensité inédite ». Le groupe de hackers pro-russes Anonymous Sudan affirme être à l’origine de la cyberattaque ayant visé la France. Quelle est la réalité de notre fragilité dans ce domaine, au sein de notre pays ?

Guillaume Tissier : Techniquement, les récentes attaques de ces derniers jours contre la France ne sont pas des attaques d'une grande sophistication. Il n'y a pas eu de vols de données massifs ou d'intrusion dans les systèmes de sécurité. Il y a simplement eu des attaques en déni de service afin de saturer des systèmes. Cela vise essentiellement des sites Internet. A force de saturation, cela peut perturber certains services avec de vrais risques d’indisponibilités et des perturbations pour les usagers de certains services publics ou privés.

Des moyens de lutte et des dispositifs existent face à ces menaces et ce type d’attaques. Des contre-mesures techniques peuvent aussi être lancées et permettre de déporter les flux vers d'autres cibles. La vraie difficulté concerne l'intensité de ces attaques et leur durée. Les attaquants peuvent démultiplier l'impact de leurs attaques en utilisant des réseaux de botnets. Ils vont relayer leurs attaques à travers des objets connectés, comme des box internet, des ordinateurs dont ils ont pris le contrôle à l'insu de leurs propriétaires. 

Dans la perspective des Jeux Olympiques, des campagnes intenses et répétées pourraient perturber les systèmes d'information. Les attaquants cherchent beaucoup la communication. Les JO seront pour eux un champ de manœuvre intéressant. Toutes les caméras du monde seront braquées sur l'événement.

Plusieurs groupes et des nébuleuses ont revendiqué ces attaques. Certains de ces individus agissent au gré des circonstances, en fonction de commandes ou de contrats. D’autres groupes sont pro-russes. Ils cherchent à exploiter les fragilités des pays occidentaux. Il y a beaucoup de faux semblants au coeur de cet espace numérique.

Carole Grimaud : Les cyberattaques menées par des Russes se sont multipliées dans l’Union européenne et notamment en France depuis le début de la guerre en Ukraine. Ces pratiques de piratages sont en constante augmentation. Il y a aussi des cyberattaques qui sont menées dans d’autres pays européens. Les cibles concernent essentiellement des médias, des sociétés, l'industrie. Personne n'est à l'abri face à ces cyberattaques. Il y a différents profils de hackers russes. Ces hackers patriotes ne font pas partie du gouvernement mais ils sont incités à cibler les sociétés des pays hostiles, des pays en Occident. Dans les années 2000-2010, une structure de hackers patriotes avait commencé à hacker des sociétés ou à voler des données. Il y a également une partie “business” derrière certains piratages. Cette partie commerciale du hacking a été menée par Evgueni Prigojine. La stratégie qui a été la sienne lors des élections américaines de 2016 a été documentée. Des informations étaient ciblées et piratées. 

Derrière ces actions de piratage de la part de la Russie, il y a également toute une partie militaire. Certaines attaques sont tellement intenses qu’elles sont liées en réalité à des actions militaires de piratage. Les Etats-Unis l’avaient déjà repéré à partir de 2016 et en 2018 avec différents groupes qui opèrent au sein du GRU, du renseignement militaire du FSB, des services fédéraux de sécurité et du des services de renseignement des affaires étrangères. Ces organisations abritent des groupes de hackers, parmi les plus connus figurent APT28 ou Lockbit.

Reste à savoir si une réorganisation a eu lieu au sein de ces groupes et qui aurait conduit à cibler tel ou tel pays. Mais ces attaques sont constantes. Cela suscite une grande menace pour la protection des données et pour la sécurité en Occident et notamment en France.

Malheureusement, ces attaques ont été comprises assez tardivement dans notre pays. Le commandement militaire de la cyberdéfense (Comcyber) a été lancé il y a quelques années, sous la houlette de Florence Parly (ministre de la Défense à l’époque). Cela a permis de renforcer la sécurité informatique avec un groupe de 800 techniciens et cyber combattants supplémentaires . Mais malheureusement, les Russes ont une grande longueur d'avance dans l'entraînement et la pratique de cette conflictualité dans l'espace cyber lors de précédents conflits en Géorgie, lors de la guerre en Ukraine à partir de 2014 dans le Donbass, en Syrie, lors des Jeux olympiques de Sotchi. Cela a permis de mener des opérations de surveillance notamment.

La France est donc confrontée à cette menace de guerre froide dans le cyber espace. Le volet militaire et offensif sont la clé du système de défense face à ce type d’attaques cyber.

Dans le domaine civil, les entreprises prennent lentement conscience des cyber risques et sont particulièrement exposées et sensibles à ces menaces. La culture de la sécurité informatique n'est pas encore complètement acquise. Cela va nécessiter un long travail. Les choses vont s'accélérer dans ce domaine. Les recommandations gouvernementales vont dans ce sens mais il y a du travail à faire. Il n'y a pas eu de prise de conscience suffisante par rapport au fait que nous étions attaqués par des pays étrangers pour des vols de données, du hacking, la mise en place de chevaux de Troie et toutes ces techniques qui peuvent saboter de nombreux projets, installations et infrastructures. Les hôpitaux, par exemple, ne sont pas assez protégés face à cette menace cyber. Il y a donc une prise de conscience aujourd'hui en France face à cette menace. 

- Est-ce que ces campagnes de cyber attaques et ces actions de piratages se sont accélérées et complexifiées ces dernières années, notamment depuis le lancement de la guerre en Ukraine ? 

Carole Grimaud : La Russie a intégré la menace cyber comme une arme d’attaque et comme une arme dans la guerre de la désinformation. Le hacking va permettre de s'introduire dans les infrastructures ou les organisations et d’avoir une influence au coeur du paysage médiatique des pays étrangers et notamment en France. La menace cyber comprend la dimension informationnelle et également le volet technique du hacking. Cela a été compris un peu tard par les pays occidentaux, à partir de 2016 pour les Etats-Unis avec l’influence sur le vote des électeurs américains et les attaques cyber. Le terrain d'entraînement a été le l'Ukraine pour la Russie. Les stratégies ciblent l'information et les systèmes informatiques. L'Ukraine avant la guerre, avant l'annexion de la Crimée, a été l'objet d'attaques cyber très importantes sur les systèmes du gouvernement, les banques ou bien encore les médias. Les autorités en Ukraine ont même décidé de bannir les réseaux sociaux russes qui étaient très utilisés par les Ukrainiens à l'époque. Mais les attaques informationnelles qui étaient menées par la Russie déstabilisaient trop l’Ukraine.

Guillaume Tissier : Il y a eu une recrudescence effectivement d'attaques. Le récent rapport de l'ANSSI (l’Agence nationale de la sécurité des systèmes d'information) permet d’alerter sur les attaques subies en 2023 et sur les menaces cyber. Il y a une recrudescence des attaques, qui visent à déstabiliser certains pays comme la France. Ces campagnes deviennent de plus en plus sophistiquées. Les attaques en déni de service sont assez basiques d'un point de vue technique mais il peut y avoir des attaques plus sophistiquées qui vont s’attaquer aux applications, via le déni de service applicatif. L'ANSSI constate ce phénomène dans son rapport et explique que le regain des attaques concerne de l'espionnage. Seule la partie émergée de l'iceberg, des attaques assez indolores, est visible.

L’ANSSI alerte également sur des attaques qui cherchent à mener des infiltrations dans les réseaux et qui vont s'implanter dans la durée pour préparer de futures opérations, des phases d’opérations dormantes qui pourraient être activées d’un jour à l’autre. Cela est lié au contexte international, pas uniquement au conflit russo ukrainien, mais aussi à toutes les tensions. Il n'y a pas aujourd'hui un seul conflit ou un contentieux diplomatique ou politique qui ne se traduise pas par une forme d'activisme.

Un activisme beaucoup plus dangereux est là plus pour déstabiliser et pour saboter. La menace est finalement banalisée et de nombreux pays ou entreprises baissent la garde. 

- Il y a quelques années, Mike Pompeo, l’ancien secrétaire d'Etat américain, avait évoqué l’importance que représentait la menace cyber pour les Etats-Unis. Au sujet de l'Europe, il avait confié que la situation était bien pire et que le défi sécuritaire à relever était d’autant plus grand. Sommes-nous suffisamment préparés en Europe et en France notamment face à cette menace cyber, émanant en partie de la Russie et de hackers internationaux ?

Guillaume Tissier : L'Europe a fait beaucoup de progrès mais de manière très inégale en fonction des pays. La France fait partie des pays considérés comme très matures en termes de cybersécurité. Un classement international place même la France parmi le groupe de tête des dix pays dans le monde qui sont performants face à la menace cyber, sur le plan défensif, des politiques publiques, de la cyber sécurité et de l'offensive. 

Cela cache des disparités au niveau européen entre les pays. Il y a donc des directives au niveau européen qui visent à permettre aux pays de monter en compétences et qui permettent d'harmoniser les niveaux de sécurité et pour mettre en place de réseaux de défense. Un projet ambitieux est notamment porté par Thierry Breton. Le Cyber Solidarity Act vise à doter l'Europe d'un bouclier cyber. Cela permettrait de créer un réseau de centres protecteurs pour compenser l’asymétrie totale entre l'attaquant et le défenseur dans l'espace numérique. L'attaquant bénéficie toujours d'un effet de surprise, encore plus que dans le monde réel. Le défenseur a tout intérêt à se mettre en réseau et à coopérer pour renforcer ses défenses. 

Il y a aussi d’importantes disparités à l'intérieur du pays. Les grands groupes et certaines administrations ont fait d'énormes progrès depuis quelques années. Mais il reste des maillons faibles comme les PME, les hôpitaux, les collectivités qui sont moins bien protégées que les grosses structures. Elles représentent des cibles de choix pour ce type d'activisme et pour la cybercriminalité.

Carole Grimaud : Mike Pompeo avait totalement raison. Sur la cybersécurité au sein des entreprises, il y a encore beaucoup de travail et d’efforts à mener par exemple. Le simple fait de laisser un ordinateur ouvert quand on quitte son poste de travail lorsque l’on travaille dans des sociétés sensibles peut représenter un danger. Il est possible de voler les données, de poser une clé USB et de dérober toutes les informations sensibles contenues dans l'ordinateur.

- Dans les pires scénarios liés à la menace cyber, est-ce que des centrales nucléaires pourraient être piratées ou des feux de circulation dans les villes, des hôpitaux, des administrations, la justice… ? Quelles pourraient être les potentielles cibles de ces attaques menées par des Etats étrangers, dont la Russie ?

Carole Grimaud : Les systèmes des centrales nucléaires et électriques pourraient être des cibles de choix, tout comme les infrastructures ferroviaires. Mais elles sont parmi les plus protégées. Il y a une culture de la sécurité informatique qui est très développée pour ces sites sensibles. 

Les hôpitaux ont déjà été attaqués et piratés en France. Les vols de données sensibles sont effectivement des butins de guerre pour les pays ennemis.

Guillaume Tissier : L'omniprésence du numérique et le fait qu'il y ait une imbrication croissante avec le monde réel fait que la surface de risque de vulnérabilité augmente par définition. Lorsque vous piratez un système industriel qui contrôle une usine de traitement des eaux ou une centrale nucléaire, l’impact ne sera plus uniquement numérique. Il va se transposer et impacter le monde réel. Donc le risque existe. Ces systèmes sont de plus en plus interconnectés et bénéficient d'une forme de cloisonnement avec l'environnement extérieur. De nombreuses technologies ont permis de renforcer leur sécurité. Mais clairement, le risque existe. 

Notre surface d'exposition au risque augmente car les systèmes numérisés sont omniprésents. Il faut donc en permanence améliorer la sécurité, renforcer la gouvernance en matière de cyber sécurité. Cela n’est pas uniquement une histoire de technique, de technologie. Il s’agit aussi d’une histoire de sensibilisation et d'organisation des salariés dans des sites ou des entreprises sensibles. 

Au niveau européen, des normes et des textes permettent d’encadrer les dérives et de renforcer la sécurité numérique. Le sujet de la sécurité des systèmes dits industriels ou des technologies opérationnelles est très sensible. De nouveaux modèles de sécurité commencent à imprégner le monde des systèmes d'information via un modèle zéro trust.

Avant, il y avait un modèle de forteresse ou de hub pour les réseaux et les systèmes d'information, les flux étaient contrôlés via les identités à l'entrée des systèmes d'information, des réseaux privés. Il y aura de plus en plus de différences entre l'intérieur et l'extérieur et les individus vont être contrôlés en permanence afin de s’assurer que les flux sont légitimes. Il y a donc une forme d'évolution aussi dans le modèle de sécurité informatique. La philosophie zéro trust devrait permettre d'avoir une meilleure segmentation de chaque ressource pour éviter qu'une attaque passe d'une cible à une autre.

Ce contrôle est un modèle un peu orwellien qui consiste à tout contrôler. A partir du moment où on veut de plus en plus utiliser le numérique pour des usages nécessitant un fort niveau de confiance car ils sont stratégiques et clés, il n’est pas choquant que de telles technologies se développent. Elles sont encadrées par des garde-fous. 

Est-ce qu'il n'y a pas un sursaut à avoir face à la multiplication depuis plusieurs années de groupes qui cherchent à nuire aux démocraties occidentales? Est-ce qu’il n'y a pas un axe de puissances hostiles à l'Occident qui essayent d'agir au niveau numérique et informatique dans le cadre de la menace cyber ? Sommes-nous à la hauteur en Occident pour répondre à ce défi sécuritaire ?

Guillaume Tissier : Notre système de défense sur le plan cyber peut toujours être amélioré. Il n’est pas facile de se battre face à toutes ces attaques informationnelles. Cela supposerait de répliquer par des attaques similaires. Or, ce terrain est particulièrement délicat. Il est important de se battre aussi sur ce terrain-là pour rétablir une forme d'équilibre.

Les entreprises et l’opinion publique sont de plus en plus sensibilisées vis-à-vis de la menace cyber et sur la sécurité en ligne. 

- Que pourrions-nous faire pour améliorer notre sécurité face à cette menace cyber, matérialisée par la Russie actuellement ? Est-ce que les livres blancs sur la cyber sécurité ont-ils suffi à nous alerter et à nous préparer sur la question ?

Carole Grimaud : Des campagnes de sensibilisation ont été menées depuis plusieurs mois concernant les ingérences étrangères. Cela fait partie de mes sujets de recherche. Il y a une sensibilisation importante qui est menée par le gouvernement mais également au sein des think tanks qui ont travaillé sur ces sujets-là.

Il y a encore un manque de sensibilisation et d’information pour les travailleurs dans des sociétés sensibles. Il s’agit de réflexes à acquérir, notamment contre la désinformation. Des campagnes ont été menées auprès des jeunes. Depuis 2014 - 2015, les médias sont mobilisés contre la désinformation.

D’autres opérations et campagnes doivent être menées contre la menace cyber et pour la sécurité informatique. Il est important de former les jeunes face à ce risque et les entreprises. Des groupes de sécurité doivent être créés et orientés pour lutter efficacement contre la menace cyber. Il est utile de changer régulièrement ses mots de passe ou d’utiliser une boîte mail cryptée comme Proton mail. L'Union européenne a pris des mesures sur le plan de la sécurité informatique. Plus personne n'utilise WhatsApp au gouvernement en France et au Parlement européen face au risque d’espionnage ou de piratage. 

Il est important d’alerter la société et les mentalités sur ces enjeux liés à la sécurité informatique qui est vraiment primordiale.