Partage d’expérience
L’attaque du début janvier 2011 contre Bercy est désormais considérée comme une référence de cyber-attaque pour l’administration française. Un travail de renseignement avait été réalisé en amont par les pirates afin de connaître les premières victimes, mais aussi leurs liens avec d’autres acteurs de l’entité ciblée. Tout aurait commencé par l’envoi d’un e-mail contenant une pièce jointe au format PDF en provenance d’une personne de confiance, bien connue dans le ministère, dont l’identité aurait été usurpée.
Le contenu du mail aurait été suffisamment intrigant pour que l’utilisateur télécharge la pièce jointe. Selon Patrick Pailloux, directeur général de l’Anssi, le «monsieur Sécurité» à l’époque, et désormais directeur technique de la DGSE, «chaque mail contenait un fichier attaché accompagné d’un message du genre : Regardez ce document, il pourrait vous intéresser’. Sitôt lancée, la pièce jointe tentait de prendre la main sur le système d’exploitation via une faille pour y loger un virus de transfert».
150 ordinateurs infectés sur 170 000
L’attaque n’a réussi que sur 150 des 170 000 ordinateurs du ministère des Finances, dotés pour la plupart de systèmes Windows XP ou 7, à l’époque. « Le service de sécurité a décelé des mouvements bizarres dans la messagerie de Bercy et c’est là que nous avons commencé à tirer les fils de la bobine. S’ils étaient parvenus à franchir les barrières de sécurité et à pénétrer dans la messagerie des services centraux de Bercy, les virus émettaient des messages à la place des utilisateurs. Il s’agissait de mails piégés par des chevaux de Troie, un mode d’infection très courant qui permet de prendre le contrôle d’un ordinateur à l’insu de son utilisateur. Mais, dans ce cas, il s’agissait d’attaques ciblées utilisant des virus dédiés, conçus à cette fin et indétectables par la plupart des anti-virus.»
Ces derniers auraient communiqué avec un serveur distant en utilisant le protocole HTTP, en contournant les règles des firewalls laissant sortir les flux HTTP, rarement surveillés. Une fois la pièce jointe ouverte, une faille logicielle est utilisée afin d’exécuter un script à distance sur l’ordinateur de la victime. Cette infection aurait dû rester la plus discrète possible afin de ne pas affecter le fonctionnement normal des ordinateurs et ainsi attirer l’attention des victimes ou des responsables de la sécurité des systèmes d’information. Patrick Pailloux avait, à l’époque, précisé que ces documents avaient trait à la Présidence française du G20 et avait visé, sans succès, le ministre des Finances, et par rebond l’Elysée et les bureaux du Premier ministre.