Piratage à Bercy : ce que l’ANSSI dit ou ne dit pas

A la suite du piratage des serveurs à Bercy, quels sont les premiers éléments recueillis par l’ANSSI ?

Lors d’un point presse organisé lundi en fin d’après-midi, l’Agence nationale de la sécurité des systèmes d’information a fourni des premiers éléments concernant l’assaut informatique dont le ministère de l’Economie, des Finances et de l’Industrie a été victime mais il reste des zones d’ombre.

D’autres médias sont parvenus à récupérer des éléments adjacents.

L’ampleur de l’attaque
« Sur les 170 000 ordinateurs déployés à Bercy, 150 postes ont été touchés », dixit Patrick Pailloux, Directeur Général de l’agence nationale en charge de la sécurité IT. Elle a touché des gens aux profils « bien déterminés » au ministère (chefs de départements, secrétaires, chargés de mission) mais c’est « un peu tout azimut »… « Il y a eu des tentatives assez larges ailleurs dans des ministères mais elles n’ont pas réussies. » Des médias comme Libération considèrent que l’Elysée, Matignon et le ministère des Affaires Etrangères ont également été « approchés » par les pirates. Selon l’ANSSI, c’est la plus grosse attaque recensée depuis sa création en juillet 2009.

Quels types de documents visés ?
 » Des documents de préparation de l’organisation du sommet G20 et sur la politique de la France au niveau international ont été volés », indique l’ANSSI sans préciser le volume. Les pirates ont eu « accès à des données banales et sensibles ». Quid de l’origine des documents et de leur niveau de confidentialité ? « Il y a de tout, dont des éléments sensibles bien sûr. Je ne sais pas quantifier », répond Patrick Pailloux. L’attaque n’a pas visé les dossiers fiscaux des contribuables français.

Quel(s) technique(s) d’intrusion ?
Un gros point dont les contours sont à éclaircir. « On a compris le mécanisme par lequel les pirates sont arrivés », assure Patrick Pailloux. Le DG de l’ANSSI considère que l’infection par mail constitue une « primo infection ». « C’est comme cela que tout a commencé. » Mais « il n’y avait pas qu’un cheval de Troie. Divers moyens techniques ont été utilisés ». Naturellement, l’agence évite de trop en dire. Une certitude : l’infection a été propagée par voie de documents en pièce jointe. Les médias évoquent un fichier PDF (format du document non confirmé par l’ANSSI). L’intrusion est sophistiquée. L’ANSSI acquiesce dans les grandes lignes : derrière l’assaut, on trouve toute une infrastructure d’anonymisation, de récupération des données et d’effacement des traces. Qui nécessitent des moyens qui ne sont pas forcément démesurées. En revanche, l’ANSSI n’a pas évoqué de dégâts connexes sur le système informatique de Bercy après le passage des pirates. L’agence trouve des « ressemblances » à l’attaque observée en février au Canada, qui, selon Symantec, portait déjà à l’époque sur des informations liées au G20 (tiens, tiens…). Selon nos informations, les pirates de Bercy ont réussi à intercepter des messages pour modifier la pièce jointe, placer la charge du malware et replacer le document dans le fil des échanges par messagerie du ministère. Une technique qui a facilité la propagation de l’agent malveillant. Il a donc fallu interpréter des « signaux faibles » pour détecter une anomalie (a priori, il s’agirait d’une personne dans la correspondance électronique du ministère qui a repéré une incohérence dans les échanges). Dans leurs communiqués en guise de réactions, les éditeurs de solutions de sécurité IT comme Sourcefire ont baptisé ce type de menace : « Advanced Persistent Threat » (« attaque commanditée, complexe et nécessitant des moyens importants qui consiste à mettre en place un canal d’échange permanent et piloté depuis l’extérieur du réseau pour en ex-filtrer des informations »).

(lire la suite de l’article page 2)