Y a-t-il un pilote dans l’avion ?
Derrière le piratage des données de 43 millions de Français chez France Travail, l’insoutenable légèreté de l’Etat en matière de sécurité informatique
Entre autres manquements effarants, nombre d’organismes publics ne respectent pas la RGPD qui s’impose pourtant à eux comme à tous les acteurs privés.
Thierry Berthier
Thierry Berthier est Maître de Conférences en mathématiques à l'Université de Limoges et enseigne dans un département informatique. Il est chercheur au sein de la Chaire de cybersécurité & cyberdéfense Saint-Cyr – Thales -Sogeti et est membre de l'Institut Fredrik Bull.
Franck DeCloquement
Atlantico : France Travail, le nouveau Pôle Emploi, a récemment fait l'objet d'un très large piratage, concernant 43 millions d'individus. Les données de chaque internaute inscrit sur la plateforme dans le courant des 20 dernières années sont menacées. Que sait-on, exactement, de l'ampleur de cette faille sécuritaire ?
Thierry Berthier : Pour être tout à fait honnête, nous manquons encore de certains éléments pour qualifier avec une grande précision le phénomène. Ce que l’on sait, c’est qu’il y a eu, à la base, une opération d’usurpation d’identité et de tromperie sur des collaborateurs de France Travail. Bien souvent, c’est la porte d’entrée : des collaborateurs sont compromis, des identités sont volées à l’aide d’e-mail frauduleux ou de faux liens vers un portail connu permettant de récupérer les identifiants de connexion ou d’autres données sensibles. C’est d’autant plus vrai pour les mots de passe qui n’ont pas le bon niveau de robustesse et qu’il est donc plus aisé de récupérer. Surfer sur les failles humaines permet souvent d’entrer dans un système : une fois que l’on dispose de plusieurs comptes, il devient possible de généraliser l’attaque, de monter en privilège.
Dans le cas présent, on sait également que l’attaque s’est déployée entre février et mars, ce qui est assez long. Il est certain que, depuis, les comptes compromis en interne ont été identifiés et il s’agit maintenant de les isoler comme de nettoyer ce qui peut l’être. On sait également que les équipes compétentes ont repéré, rétrospectivement, une exfiltration massive des données. On parle effectivement de plus de 40 millions de données qui ont été exfiltrées en un mois. C’est considérable. Sur un réseau, c’est quelque chose qui se voit, d’ailleurs bien avant que l’on en arrive à de tels niveaux. Sauf, bien sûr, à ne pas disposer d’outils de supervision performants. Avec un outil de type SIEM (Security Information and Event Management) ou de type UEBA (User Entity Behavior Analytics), c’est quelque chose qui se repère vite. Il n’y a pas besoin d’attendre un mois, l’alerte peut être donnée très rapidement..
D’autres optent pour des opérations foudroyantes : une attaque massive dans la nuit par déni de service par exemple, ou de déréférencement du site visé, ou durant une période de la journée bien particulière pour ravir le plus d’informations possible, à l’aide des différents dispositifs informatiques de piratages qu’ils ont eu l’occasion d’introduire et de déployer au préalable. Ceux-ci correspondent à des codes malveillants, d’éventuelles compromissions sur le chiffrement des bases de données… on peut tout envisager à ce stade. Enfin, certains préfèrent supprimer la totalité des données de la base plutôt que de se contenter de les voler à des fins mercantiles sur le darkweb.
Ceci étant dit, nous n’avons pas d’information plus précises à date. Les services de l’Etat, et particulièrement l’ANSSI, sont en train de procéder à une investigation de profondeur pour dresser la nature des dégâts, évaluer l’ampleur de l’attaque, les points d’accès utilisés par les assaillants à des fins de remédiation. Il est possible que ceux-ci aient laissé des traces patentes, et que nous soyons donc en mesure de les identifier.
Comment expliquer ce manquement ? De quoi résulte-t-il exactement et à quel point était-il prévisible ?
Thierry Berthier : Notons d’abord que le manquement n’est pas nécessairement uniquement technique. Sur l’ensemble des collaborateurs de France Travail, certains sont forcément plus vulnérables que d’autres à la tromperie, à l’attaque cyber, qui peuvent parfois être victimes de la fatigue ou de la trop grande confiance qu’ils placent dans l’informatique. Les attaquants font feu de tout bois. Ils sont opportunistes. Il suffit de deux comptes récupérés pour mener l’attaque. Un manquement humain est tout à fait envisageable.
Ce qui est certain, c’est que les assaillants n’ont pas été mauvais : ils ont pu rester infiltrés un mois durant sans être repérés et exfiltrer un nombre conséquent de données. Même sans connaître la structure exacte de France Travail en matière de cybersécurité, il apparaît légitime de songer à une importante remise en question : qui est (ou était) le fournisseur de solution de sécurité, y a-t-il eu un audit complet ? En principe, cela aurait dû être le cas, compte tenu de l’importance de cette administration, qui fait normalement l’objet de multiples contrôles. Il me semble évident que, à l’issue d’une pareille attaque, il y aura une remise en question conséquente de ce système de sécurité et il est plausible que France Travail change de fournisseur de solutions en matière de cybersécurité.
Il paraît en tout cas plausible que le problème émane du matériel utilisé. Le SIEM, c’est-à-dire, la solution de supervision réseau, n’est peut-être pas assez performant. Certains sont de véritables passoires. Il suffit que celui-ci ne soit pas très bon pour que les assaillants puissent passer. Auquel cas, la responsabilité retomberait de facto sur France Travail, mais aussi sur le prestataire.
Notons qu’à l’heure actuelle, nous disposons de solutions qui s’appuient sur de l’intelligence artificielle pour détecter les exfiltrations sur 24h ainsi que sur des durées plus longues. Les données qui ont ici été volées, c’est important de le rappeler, sont sensibles : on parle du nom, du prénom, du numéro de sécurité sociale… Il ne manque plus que les mots de passe et le numéro de carte bancaire pour cocher toutes les cases.
La cybersécurité absolue, ceci étant dit, n'existe pas. C’est mathématique. L’avantage, cependant, est toujours au glaive et la complexité toujours au bouclier. L’action de défendre un système toujours plus gros, qui compte des millions d’utilisateurs, est bien plus complexe que de mener une attaque. L’assaillant n’a qu’à jeter ses filets et récupérer, après plusieurs tentatives parfois, ses proies. C’est pourquoi plusieurs organismes, comme c’est le cas de l’ANSSI, sont chargés d’assurer la cybersécurité de l’Etat et de ses administrations. Certaines d’entre elles résistent bien à la plupart des attaques, dont plusieurs sont potentiellement menées par des groupes de hackers pro-russes. Les cibles à haute valeur ajoutée n’ont pas été impactées, semble-t-il, alors même qu’elles font l’objet d’attaques quotidiennes.
Dès lors, il apparaît évident que la probabilité pour que de telles plateformes (et cela ne se limite pas à France Travail) est très élevée. D’autant plus que les bases de données en question servent au quotidien et ne peuvent donc pas être hermétiques. Il y a toujours une interaction, de nombreuses portes d’entrée et autant de portes de sortie. Il est évident que si France Travail avait un SIEM performant, la fuite aurait été détectée plus vite.
Franck Decloquement : Un dispositif informatique fait toujours montre de vulnérabilités. Quand celles-ci sont identifiées, il est primordiale de les "patcher", au risque de voir la coque de notre canot pneumatique virtuel être transpercé. Le patch informatique, telle une "rustine" pour résumer la chose, c’est le correctif que l’on produit quand on détecte une faille, un manquement. Pour identifier ceux-ci, le plus simple consiste souvent à diligenter des hackers spécialisés, que l’on nomme "hackers éthiques", qui vont procéder à des attaques consenties, réglementées et dument mandatées par une organisation, dans le cadre d'un “bug bounty” (ou “prime aux bogues”) tel que le permet la plateforme de gestion des vulnérabilités YesWeHack. Il s’agit ici de tester la surface d’attaque et les vulnérabilités des infrastructures avec le blanc-seing de l’organisation concernée, et potentiellement celui des services de renseignement concernés. Dès lors, tous les dispositifs possibles sont mis en tension pour faire tomber la protection afin de mettre au jour des failles inconnues… et permettre ainsi la réalisation, in fine, de correctifs efficaces.
Bien évidemment, pour parvenir à un résultat efficient, il faut aussi former les acteurs chargés, directement ou indirectement, de la protection cyber. Le facteur humain constitue et demeure le plus souvent l’une des plus importantes vulnérabilités d’un système informatique.
En France, la légèreté dont nous pouvons faire preuve s’explique de plusieurs façons. L’un des premiers éléments à prendre en considération, c’est le manque parfois criant de budget alloué, et consacré par l’Etat à l'efficience de sa protection cyber. En tout cas dans certaines strates de son organisation. L’Etat, c’est un fait, est relativement exsangue en matière budgétaire. Il faut alors faire des arbitrages, comme celui consistant à accorder 3 milliards d’euros à L’Ukraine quand il nous est pourtant nécessaire de réaliser par ailleurs, une économie drastique et globale de 20 milliards. Par conséquent, certaines sommes et certains secteurs ne sauraient être provisionnés. Et force est de constater dans les faits que les budgets de cybersécurité sont rarement protégés ou sanctuarisés contre les coupes franches, bien au contraire. Ce choix politique nous expose de facto aux regards d’une gamme d’acteurs dont certains sont objectivement malveillants à notre égard. Leur objectif direct ou indirect n’est autre que la percée de nos défenses vitales, pour pouvoir créer de la confusion sur notre sol, au niveau social, sociétal, ou même du côté des services aux personnes, qu’il s’agisse des problématiques de paiement ou d’enregistrement des billets des voyageurs pour ne citer que quelques exemples, parmi des milliers d'autres.
Contrevenir à ce danger demande une préparation conséquente. Nos entreprises et grands groupes, privés comme publics, se doivent donc de dépenser des sommes importantes pour être en mesure de sécuriser des dispositifs complexes dont l’évolution technique est permanente. En parallèle, elles sont aussi confrontées à l’injonction d'assurer une expérience utilisateur à peu près correcte, laquelle implique une potentielle perte de sécurité, si elle ne s’accompagne d’une batterie de correctifs où peuvent se nicher des singularités - ou des failles non détectées, dites aussi zero day - qu'utilisent les hackeurs pour nous attaquer. N’oublions d’ailleurs pas que ceux-ci ont la possibilité de recourir à des processus d’intelligence artificielle (IA) pour épauler leurs attaques. Ils n’ont pas besoin d’être particulièrement compétents pour réussir, du fait justement d’une certaine forme "d’ubérisation" de leurs moyens d’assaut.
Quels sont les mauvais choix que nous avons pu faire en matière de cybersécurité ? La simplification permanente des démarches a-t-elle un impact sur la sécurité des bases concernées ?
Thierry Berthier : Sans connaître l’architecture exacte et les éventuelles dépendances des bases, il est très difficile de répondre. Dans tous les cas, il y a une compromission interne des comptes de collaborateurs de France Travail ce qui, dès lors, permet de passer outre la sécurité des bases. L’attaquant se connecte comme si il ou elle était monsieur ou madame X, travaillant pour France Travail. Dès lors, il y a un certain nombre de privilèges de connexion. Une fois que l’on est entré et que l’on a usurpé un compte légitime, on sort de l’illégalité et il est plus simple d’avoir accès à ces informations. C’est au moment de l’exfiltration de la donnée que tout devient plus compliqué, car le risque d’être piégé est réel. Soit nos assaillants ont été habiles et ont su diluer leur exfiltration, soit ils ont opté pour une exfiltration immédiate au risque d’être repéré immédiatement. Sans les éléments du dossier, il n’est pas possible de le savoir.
Franck Decloquement : La question est, sans doute, un peu trop globale. Pour prendre la mesure réelle du problème, il faut la découper secteur par secteur. Certains secteurs de l'administration, parce qu’ils font appel à des problématiques d’infrastructures vitales sont particulièrement protégés. On parle alors d’OIV (opérateurs d’importances vitaux). Les services de renseignements, particulièrement quand cela touche à la défense, investissent beaucoup sur ces sujets. C’est le cas de la Direction du renseignement et de la sécurité de la Défense (DRSD) qui dispose de moyens très conséquents pour protéger les différents périmètres de nos forces, et notamment les entreprises de la BITD.
Bien sûr, certaines administrations – comme les régions, les mairies, les départements – demeurent les parents pauvres de la cybersécurité. Ce sont des points d’accès hélas privilégiés, que l’on oblige théoriquement à s’équiper d’officiers chargés de la protection cyber (les DPO) ainsi qu’à respecter le RGPD. Ce dernier impose la présence de responsables et de référents, afin de limiter les risques de fuites ou les piratages de données sensibles. Du moins… en théorie. Cela demande, en pratique, du temps, de la formation continue et de l’argent public, ce que certaines administrations ne peuvent pas garantir. L'assemblée des départements de France ainsi que son président François Sauvadet sont d'ailleurs très impliqués et engagés dans cette bataille au niveau de nos départements. Je peux en témoigner. Car il s'agit en effet d'un échelon central pour la protection de notre état qu'il est essentiel, voire prioritaire, de considérer à sa juste valeur, au regard de la production de données dont nos départements sont producteurs et détenteurs.
Les experts cyber coûtent cher, la formation des jeunes talents coûte également très cher, et ils sont d’ailleurs très recherchés dans tous les secteurs en tension. D’où de réels trous dans la raquette faute des recrues nécessaires parfois.
Que dire de l'absence de respect du RGPD par le public, que semble illustrer ce nouveau piratage ?
Thierry Berthier : La note d’explication à la CNIL a été faite en temps et en heure, tandis que l’ampleur de l’attaque a été notifiée. Les règles et le protocole ont été respectés. La transparence a été assurée, il faudra maintenant en tirer les enseignements. Comprenons bien que le niveau des attaques (ainsi que leur niveau technique) n’a jamais été aussi fort.
Bien évidemment, s’il y a eu des raccourcis ou des recours dans la doctrine de sécurité d’une telle structure, cela serait inadmissible. En matière de cyber, plus on est gros, plus on a un devoir d’exemplarité.
Il est vrai que, au sein des collectivités territoriales, la cybersécurité a parfois fait les frais des coupes budgétaires. C’était le dernier poste de dépense, qui ne générait pas de recettes. Mais depuis, les choses tendent à changer. L’acculturation au cyber fait que ces dynamiques vont en diminuant et, au demeurant, le phénomène est assez différent.
En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.
Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !