Depuis décembre, des cyber-espions ont pu dérober un nombre "relativement important" de documents sur les ordinateurs des employés du ministère des Finances. Les informations subtilisées concernent le G20, que la France préside en 2011.
Un nombre "relativement important" de documents subtilisés, un ministère entièrement coupé d’Internet le temps d’un week-end : tels étaient, lundi, les principales conséquences d’une opération d’espionnage informatique qui visait Bercy depuis le mois de décembre et qui était connue par les services du ministère depuis janvier.
Le ministre français du Budget, François Baroin, a confirmé les révélations du site du magazine Paris Match. Il y a donc bien eu une attaque d’une ampleur "spectaculaire". C’est même, d’après le ministre, la plus importante opération de cyber-espionnage jamais enregistrée à l'encontre d'un ministère.
Ce serait "les informations relatives au G20" qui intéressaient les cyber-espions, d’après François Baroin. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a confirmé à FRANCE 24 que les documents dérobés "concernaient la finance internationale et le commerce mondial", selon le porte-parole de l’organisme. Paris Match a, de son côté, écrit que le service du Trésor avait été visé, laissant planer le doute sur un vol éventuel de données concernant directement les contribuables français.
it
À l’heure actuelle, les responsables de cette intrusion informatique ne sont pas connus. "Il y a des pistes, mais à ce stade, il est impossible de les confirmer", a indiqué François Baroin. Le contre-espionnage français (DCRI) a été désigné pour mener l’enquête. Mais ses conclusions ne devraient pas être connues avant "plusieurs semaines".
Une attaque ciblée
Le ministère de l’Économie s’est rendu compte de l’existence d’une cyber-attaque début janvier, explique un porte-parole de l’ANSSI. Les opérations pour circonscrire le piratage informatique ont culminé ce week-end, lorsque tout le ministère de l’Économie a été privé d’Internet pour cause de coupure. "Entre 10 000 et 12 000 postes informatiques ont été sécurisés", précise l’ANSSI, qui assure aussi que la menace est désormais maîtrisée.
Le modus operandi de ces "cyber-assaillants" a déjà été cerné. Ils ont envoyé des mails avec des pièces jointes infectées à plusieurs employés de l’entreprise. Ces pièces jointes contenaient un cheval de Troie - c’est-à-dire un programme malveillant permettant de prendre le contrôle d'un ordinateur à distance. "Les personnes visées connaissaient l’expéditeur et les pièces jointes concernaient des sujets qui les intéressaient personnellement", explique le porte-parole de l’ANSSI. Conclusion : les pirates informatiques savaient parfaitement qui étaient leurs victimes.
Une fois introduits dans le système informatique du ministère, ils ont ensuite réussi à prendre le contrôle de 150 ordinateurs - sur les 170 000 postes que comptent le ministère et ses annexes. "Toutes les victimes identifiées avaient en commun de posséder des documents relatifs au G20", indique l’ANSSI. La piste du G20 semble également confirmée par le fait qu’une attaque similaire qui avait touché six mois auparavant le ministère canadien de l’Économie, alors que le pays présidait le club des 20 pays les plus riches au monde.