La cyberattaque dont a été victime l’Élysée n’a été possible, selon L’Express, qu'à cause d’une erreur humaine. Mais, pour l’expert en cybercriminalité Guillaume Lovet, la faute incombe aussi au système de sécurité informatique du "Château".
Tout a commencé sur Facebook. Comme tant d’autres histoires à l’ère numérique. Sauf que, dans cette affaire, c’est la sécurité informatique de l’Élysée qui aurait été compromise au final, qui plus est par l’un de ses principaux alliés, les États-Unis.
D’après les révélations de mardi 20 novembre de L’Express, la cyberattaque menée en mai dernier au cœur même de l’État français aurait pour origine une histoire d’amitié virtuelle sur le célèbre réseau social. La faille de sécurité semble donc d’origine humaine : un employé du "Château" a accepté de devenir “ami” sur Facebook avec la mauvaise personne.
Cette dernière lui a envoyé un lien qui menait à une réplique du site de l’Élysée, mise en place par les hackers, sur lequel le salarié a entré son identifiant et son mot de passe. Des données sensibles aussitôt récupérées par les cyberassaillants qui ont pu ainsi se connecter aux ordinateurs des plus proches collaborateurs du président français de l’époque, Nicolas Sarkozy.
Cette technique d’attaque peut sembler basique, surtout dans une affaire qui implique la sécurité au plus haut niveau de l’État. Mais elle n’étonne pas Guillaume Lovet, expert en cybercriminalité chez Fortinet, une entreprise américaine de sécurité informatique. Il explique à FRANCE 24 que c’est monnaie courante dans le monde de la cybercriminalité et qu’il ne faut pas pour autant blâmer l’employé qui s’est laissé prendre dans ces cyberfilets.
FRANCE 24 : Est-ce que la méthode utilisée par les cyber-espions pour s’infiltrer sur les ordinateurs de l’Élysée vous étonne ?
Guillaume Lovet : Pas du tout. Il y a deux techniques pour y arriver. On peut tenter d'exploiter une faille de sécurité informatique. Mais il faut soit en déceler une, ce qui peut prendre des mois, ou alors payer un pirate informatique qui en aurait découverte une, ce qui peut coûter aux alentours de 100 000 dollars.
Soit, comme dans le cas présent, on fait du “social engineering” ("ingénierie sociale") qui consiste à récupérer déloyalement des informations sensibles auprès d’une victime humaine. C’est plus facile, plus rapide, moins cher et plus efficace.
Pour L'Express, la messe est dite : ce sont les États-Unis qui sont derrière la cyberattaque, en mai dernier, de l'Élysée. Le magazine cite à ce propos des "sources concordantes" et le fait que le logiciel malveillant Flame a, selon toute vraisemblance, une origine américaine.
Mais, pour Guillaume Lovet, expert en cybercriminalité pour la société de sécurité informatique FortiNet, "le problème de l'attribution d'une attaque dans le cyberespace est trop compliqué pour qu'on puisse affirmer ainsi qu'il s'agit d'un État plutôt que d'un autre".
Le fait que Flame soit d'origine américaine - le quotidien américain New York Times expliquait en juin dernier que ce virus faisait parti d'une cyber-opération menée par l'administration Obama contre l'Iran - ne prouverait pas grand-chose, d'après ce spécialiste. "Trouver un exemplaire de Flame sur l'Internet et l'acheter n'est pas la chose la plus difficile au monde", affirme Guillaume Lovet.
Surtout, pour lui, la question des motivations de l'attaque se pose et ne fait pas forcément pencher la balance en faveur d'une origine américaine. Washington n'a, en effet, pas d'intérêt évident à espionner l'un de ces principaux alliés. En revanche, "de telles attaques peuvent servir à créer des incidents diplomatiques et l'utilisation d'un virus qui porte aussi clairement la marque made in USA est une bonne manière pour y parvenir", souligne Guillaume Lovet.
Est-ce que l’utilisation de Facebook pour tromper sa victime est courante dans ce genre d’affaires ?
G. L. : C’est probablement moins courant que le mail, mais elle s’explique aisément. Sur Facebook, la frontière entre le monde professionel et le monde personnel est de plus en plus floue et on fait de moins en moins attention à qui on ajoute comme “ami”. Ensuite, comme c’est un réseau social, c’est une interface idéale pour gagner la confiance de sa victime.
Donc, dans cette histoire, la faille est d’origine humaine ?
G.L. : Je suis un fervent opposant de cette théorie qui veut que l’homme est systématiquement le maillon faible dans les affaires de cybercriminalité. Le “social engineering” peut, de nos jours, être très élaboré et personne, pas même un expert, n’est à l’abri.
Dans l’affaire GhostNet [un réseau de cyberespionnage en 2009 qui visait prioritairement les partisans du Dalaï-Lama, NDLR], les techniques d’approche des pirates informatiques ont permis d’envoyer des mails infectés qui semblaient à chaque fois provenir de personnes de confiance, avec des textes qui étaient cohérents et des documents joints qui paraissaient tout à fait légitimes. Il y a un moment donné où il n’y a objectivement pas de raison de se méfier !
Si l’erreur n’est pas humaine, qui porte la responsabilité dans cette affaire ?
G.L. : La technologie doit prendre le relais des limites naturelles de l’homme. On ne connaît évidement pas tous les détails, mais la sécurité informatique de l’Élysée n’était clairement pas à la hauteur.
Je me demande, notamment, comment l’employé en question a pu se connecter à un faux site de l’Élysée sans que son navigateur indique qu’il n’était pas authentique. Il existe pourtant des outils qui permettent d’identifier l’auteur d’un site. Toutes les personnes qui disposent de ce genre de code d’accès devrait avoir sur leur poste de travail comme chez eux ce genre de défense intégrée à leur navigateur internet.
Par ailleurs, une fois que les cybercriminels ont récupéré les identifiants, cela ne signifie pas pour autant qu’ils doivent avoir libre accès aux ordinateurs d’autres employés de l’Élysée. Encore une fois, on ne sait pas exactement comment ça s’est passé, mais un bon système de sécurité informatique suppose un grand nombre de couches de défense. Si, prises séparément, elles ont toutes forcément des failles, elles doivent permettre de colmater ensemble la plupart des brèches informatiques. À voir le résultat dans cette affaire, on peut se demander si c'était le cas à l'Élysée à cette époque.
Pensez-vous que cette affaire donne une mauvaise image de la sécurité informatique made in France ?
G.L. : Ne nous y trompons pas : la France est, avec quelques autres pays comme les États-Unis, Israël ou encore la Grande-Bretagne, parmi les pays les plus en pointe en matière de sécurité informatique.