Piratage à Bercy : ce que l’ANSSI dit ou ne dit pas

Le démarrage de l’attaque
L’ANSSI reste plus vague sur la genèse de l’assaut. L’agence mène un « travail intense » depuis janvier 2011, sachant que l’attaque aurait démarré « plusieurs semaines avant que l’on ne voit ».

Pour quels motifs ?
Pas de doute chez l’ANSSI : « c’est une véritable action volontaire d’espionnage ».

Les auteurs du piratage ?
Pas de commentaire. L’enquête risque de prendre du temps au regard de l’attaque sophistiqué. Le profil des pirates est assez vague ? Ceux qui ont conduit cette attaque sont « des pros, déterminés et organisés », déclare Patrick Pailloux. Une plainte contre X a été déposée auprès du parquet de Paris et une enquête est menée par la Direction centrale du renseignement intérieur (DCRI), le service de renseignement français. Sur son blog, François Paget, expert sur les menaces informatiques pour le compte de McAfee, indique qu’un « responsable senior ministériel » (anonyme) a précisé que des données compromises avaient transité sur des serveurs en Chine. Mais c’est insuffisant pour déterminer les réels instigateurs de l’attaque.

Peut-on déceler un défaut de sécurité dans le système d’information du ministère ?
« Le système d’information n’est pas spécialement mal sécurisé. Quand on veut pénétrer, on finit par y arriver », commente Patrick Pailloux. « Les solutions anti-virus marchent mal dans ce genre d’affaires. Ce sont des attaques ciblées pour des cibles précises avec des virus dédiés. » Difficile de détecter du sur-mesure qui passe en dessous des radars des signatures de virus recensés par les éditeurs de solutions de sécurité IT.

Le travail effectué par l’ANSSI
Patrick Pailloux a décrit quatre grandes phases : « analyses », « vérifications », « faire bloquer les attaques », « sécuriser plus fortement les systèmes d’information de Bercy ». Cela a nécessité un « gros travail ». La reconnexion est intervenue lundi matin alors qu’une opération de maintenance avait été organisée au cours du week-end. « Cela a mobilisé beaucoup de monde » (150 personnes, dont 25 de l’ANSSI). Sachant qu’une cinquantaine d’agents de l’ANSSI sont entrés dans la boucle depuis le début de l’intervention. « L’attaque est terminée », assure l’ANSSI.

Le plan PiraNET a-t-il été enclenché ?
Non, répond l’ANSSI. Malgré l’attaque majeure, ce seuil d’alarme n’a pas été activité. Depuis l’installation de ce dispositif pour défendre les intérêts vitaux de la Nation, il n’a encore jamais été enclenché, assure l’agence.
Néanmoins, Patrick Pailloux ne le cache pas : derrière cet effort de communication sur le piratage de Bercy, l’ANSSI souhaite que les différentes administrations prennent conscience que « cela n’arrive pas qu’aux autres ». L’agence recense actuellement au niveau national « plusieurs dizaines d’attaques piégées par mois ».
On peut toutefois se demander pourquoi l’ANSSI a décidé de communiquer sur le sujet qu’à partir du troisième mois après les premières présomptions d’attaques visant Bercy.