Pour gérer vos consentements :

Piratage à Bercy : ce que l’ANSSI dit ou ne dit pas

A la suite du piratage des serveurs à Bercy, quels sont les premiers éléments recueillis par l’ANSSI ?

Lors d’un point presse organisé lundi en fin d’après-midi, l’Agence nationale de la sécurité des systèmes d’information a fourni des premiers éléments concernant l’assaut informatique dont le ministère de l’Economie, des Finances et de l’Industrie a été victime mais il reste des zones d’ombre.

D’autres médias sont parvenus à récupérer des éléments adjacents.

L’ampleur de l’attaque
« Sur les 170 000 ordinateurs déployés à Bercy, 150 postes ont été touchés », dixit Patrick Pailloux, Directeur Général de l’agence nationale en charge de la sécurité IT. Elle a touché des gens aux profils « bien déterminés » au ministère (chefs de départements, secrétaires, chargés de mission) mais c’est « un peu tout azimut » « Il y a eu des tentatives assez larges ailleurs dans des ministères mais elles n’ont pas réussies. » Des médias comme Libération considèrent que l’Elysée, Matignon et le ministère des Affaires Etrangères ont également été « approchés » par les pirates. Selon l’ANSSI, c’est la plus grosse attaque recensée depuis sa création en juillet 2009.

Quels types de documents visés ?
» Des documents de préparation de l’organisation du sommet G20 et sur la politique de la France au niveau international ont été volés », indique l’ANSSI sans préciser le volume. Les pirates ont eu « accès à des données banales et sensibles ». Quid de l’origine des documents et de leur niveau de confidentialité ? « Il y a de tout, dont des éléments sensibles bien sûr. Je ne sais pas quantifier », répond Patrick Pailloux. L’attaque n’a pas visé les dossiers fiscaux des contribuables français.

Quel(s) technique(s) d’intrusion ?
Un gros point dont les contours sont à éclaircir. « On a compris le mécanisme par lequel les pirates sont arrivés », assure Patrick Pailloux. Le DG de l’ANSSI considère que l’infection par mail constitue une « primo infection ». « C’est comme cela que tout a commencé. » Mais « il n’y avait pas qu’un cheval de Troie. Divers moyens techniques ont été utilisés ». Naturellement, l’agence évite de trop en dire. Une certitude : l’infection a été propagée par voie de documents en pièce jointe. Les médias évoquent un fichier PDF (format du document non confirmé par l’ANSSI). L’intrusion est sophistiquée. L’ANSSI acquiesce dans les grandes lignes : derrière l’assaut, on trouve toute une infrastructure d’anonymisation, de récupération des données et d’effacement des traces. Qui nécessitent des moyens qui ne sont pas forcément démesurées. En revanche, l’ANSSI n’a pas évoqué de dégâts connexes sur le système informatique de Bercy après le passage des pirates. L’agence trouve des « ressemblances » à l’attaque observée en février au Canada, qui, selon Symantec, portait déjà à l’époque sur des informations liées au G20 (tiens, tiens…). Selon nos informations, les pirates de Bercy ont réussi à intercepter des messages pour modifier la pièce jointe, placer la charge du malware et replacer le document dans le fil des échanges par messagerie du ministère. Une technique qui a facilité la propagation de l’agent malveillant. Il a donc fallu interpréter des « signaux faibles » pour détecter une anomalie (a priori, il s’agirait d’une personne dans la correspondance électronique du ministère qui a repéré une incohérence dans les échanges). Dans leurs communiqués en guise de réactions, les éditeurs de solutions de sécurité IT comme Sourcefire ont baptisé ce type de menace : « Advanced Persistent Threat » (« attaque commanditée, complexe et nécessitant des moyens importants qui consiste à mettre en place un canal d’échange permanent et piloté depuis l’extérieur du réseau pour en ex-filtrer des informations »).

(lire la suite de l’article page 2)

Page: 1 2

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago