Cyberespionnage : Bercy victime d’une attaque “sur mesure et sophistiquée”

photo_1299502030666-1-1.jpg
à Paris, le 24 mars 2010 (Photo : Loic Venance)

[07/03/2011 12:48:53] PARIS (AFP) Bercy a été victime d’une attaque informatique “sur mesure” et particulièrement “sophistiquée”, un exemple typique de la nouvelle forme montante de cybercriminalité aux motivations politiques, qui infiltre des outils simples comme les emails, selon les experts.

Le ministère des Finances a reconnu lundi avoir été victime d’une vaste attaque visant les dossiers ultra-sensibles de la présidence du G20, et avoir dû débrancher 10.000 ordinateurs au cours du week-end.

“Tout semble indiquer qu’il s’agirait d’une attaque ciblée, sur mesure, un +cheval de Troie+ qui ne fait pas partie des virus basiques, connus, référencés, et qui n’a donc pas été repéré. On est sur un niveau de sophistication plus élevé, avec une expertise certaine”, indique à l’AFP Thierry Karsenti du fournisseur de solutions de sécurité Check Point.

Selon lui, “il ne s’agit pas d’une négligence de la sécurité, car on imagine bien que le service de messagerie d’un tel ministère stratégique comporte un certain nombre de dispositifs de sécurité “.

“Et apparemment, les services de sécurité ont déjà passé plus de deux mois, jour et nuit, à essayer de connaître l’ampleur de l’infection”, ajoute M. Karsenti.

“C’est malheureusement très conforme à ce que l’on voit depuis un certain temps, c’est-à-dire que parallèlement à la cybercriminalité classique visant les particuliers et leur PC à la maison, nous avons cette nouvelle vague d’attaques aux motivations politiques ou idéologiques”, résume Laurent Heslault pour la société de protection informatique Symantec.

“Une telle attaque débute généralement par l’envoi d’emails ciblés à des salariés d’entreprises ou d’administrations”, explique de son côté François Paget pour son concurrent McAfee.

Les cybercriminels procèdent par quatre phases: tout d’abord “l’incursion”, qui doit permettre d’installer dans l’infrastructure choisie un logiciel malveillant en usurpant une identité, “ce qui est à la portée de n’importe qui, c’est un jeu d’enfant et il suffit de passer quatre minutes sur Google pour savoir faire”, souligne Thierry Karsenti.

“Il faut ensuite +forger+ un message pour faire en sorte que le destinataire ouvre la pièce jointe: l’email doit être crédible, venir d’une personne qu’il connaît et comporter si possible des détails +frais+, si par exemple la personne a participé à un salon ou une réunion”, explique M. Heslault.

Une fois que la pièce jointe est ouverte, “le mal est fait, et le +maliciel+ (logiciel malveillant) s’installe sur la machine”, indique-t-il.

Les pirates prennent alors le contrôle à distance de l’ordinateur: les logiciels implantés peuvent permettre d’enregistrer tous les textes tapés sur le clavier, d’activer les micros de l’ordinateur pour enregistrer ce qu’il se passe dans la pièce, ou encore de “lancer des recherches à partir du mot +G20+”, souligne François Paget.

Il est souvent extrêmement difficile de remonter jusqu’aux pirates, voire aux donneurs d’ordre, du fait du système dit de “rebond”: “un cybercriminel français va pirater une machine en Chine, depuis laquelle il va pirater un ordinateur allemand, pour au final attaquer un système en France”, indique-t-il.

“La source de l’attaque est très rarement l’ordinateur de l’espion lui-même. Ce n’est pas parce que les informations exfiltrées partent vers une adresse au Groenland qu’il y a un ours blanc derrière le clavier”, souligne M. Paget.