Politique Internationale - La Revue n°156 - ÉTÉ -

sommaire du n° 156
LA CYBER-GUERRE AURA-T-ELLE LIEU ?
Entretien avec Guillaume POUPARD
Directeur de l'Agence nationale de la sécurité des systèmes d'information (ANSSI). la
conduit par
Thomas HOFNUNG
Chef de rubrique au site The Conversation.
en français
in english
en español
en français


Des dizaines d'hôpitaux paralysés en Angleterre, des chaînes de montage automobile à l'arrêt en France, des centaines de cibles visées et touchées à travers la planète : la cyber-attaque massive déclenchée il y a quelques semaines a créé la stupeur au sein des opinions publiques. Alors qu'il ne s'agissait que d'un rançongiciel (1), cet épisode illustre de manière éclatante les capacités qu'ont acquises des assaillants non identifiés et très performants. Demain, seront-ils en mesure d'interrompre la distribution de l'eau dans une région, de bloquer le fonctionnement d'une centrale nucléaire ou de semer la zizanie dans le trafic aérien ?

Face à ces menaces bien réelles, les États occidentaux se préparent. En France, la défense « cyber » a été confiée à une institution dont le nom n'est guère connu du grand public. Installée au coeur de l'Hôtel national des Invalides à Paris depuis sa création en 2009 et rattachée au Secrétariat général de la défense et de la sécurité nationale (SGDSN), l'Agence nationale de la sécurité des systèmes d'information (ANSSI) est engagée dans une véritable course contre la montre face à des agresseurs de plus en plus entreprenants. Autrement dit, de plus en plus dangereux.

Peu avant de quitter l'hôtel de Brienne pour le Quai d'Orsay, le désormais ministre des Affaires étrangères Jean-Yves Le Drian révélait que, sur la seule année 2016, 26 000 attaques avaient visé les systèmes d'information du ministère de la Défense, diverses entreprises et institutions françaises, mais aussi de simples particuliers. Dans l'entretien qu'il a accordé à Politique Internationale, le directeur de l'ANSSI, Guillaume Poupard, précise que ce chiffre a priori vertigineux couvre toutes sortes d'agressions - du simple déni de service à des intrusions bien plus sophistiquées dans des systèmes gouvernementaux. Mais le patron de l'ANSSI ne cherche pas à minimiser le danger : il va falloir apprendre à vivre avec une menace permanente, prévient-il, et se préparer à y faire face.

L'attaque spectaculaire qui a secoué la planète il y a quelques semaines, mais aussi le « hacking » des ordinateurs de l'équipe de campagne du candidat Macron ou encore la décision de renoncer au vote électronique pour les Français de l'étranger (suite aux fuites informatiques qui avaient émaillé la campagne présidentielle aux États-Unis) ont donné la juste mesure du danger qui plane sur la France et sur des pays comparables au nôtre en termes de développement numérique.

Car nul n'est à l'abri : plus les systèmes informatiques s'étendent, plus nous devenons vulnérables face à des assaillants qui rivalisent en matière d'innovation destructrice. Qui sont-ils ? Des États ? Des groupes soutenus par des États ? Des réseaux criminels ?

Une chose est sûre : un citoyen averti en vaut deux, tout comme un internaute. On lira donc ici avec profit cet état des lieux très complet que dresse Guillaume Poupard. Sans fard, avec lucidité, non sans inquiétude, mais avec le souci permanent de mobiliser les énergies pour renforcer la sécurité de nos systèmes d'information - c'est-à-dire la sécurité de tous.

T. H.





Thomas Hofnung - En mai 2017, le virus « WannaCry » (2) a frappé dans le monde entier. Une offensive d'une telle ampleur était-elle redoutée ?



Guillaume Poupard - Soyons clairs : nous ne sommes jamais à l'abri d'une attaque de grande ampleur. Elle peut survenir à n'importe quel moment.

Les campagnes de rançongiciels (demandes de rançon sur le web) sont malheureusement des événements récurrents qui font régulièrement l'objet de bulletins d'alerte publiés par notre Centre d'alerte (le Cert-FR). Il n'en reste pas moins que l'ampleur internationale et la virulence de la campagne d'infection mondiale qui a distribué le rançongiciel « WannaCry » est effectivement notable. À cet égard, l'application de mesures préventives constitue aujourd'hui la meilleure défense contre d'éventuelles nouvelles campagnes de rançongiciel. L'ANSSI incite ainsi les entreprises et les administrations à mettre à jour leurs systèmes d'information et leurs logiciels ; à mettre en place des sauvegardes régulières ; et à sensibiliser et former leur personnel aux bonnes pratiques informatiques.



T. H. - Les cyber-attaques, vous l'avez dit, se multiplient. Est-ce l'ANSSI qui est chargée d'identifier leurs auteurs ?



G. P. - L'ANSSI est amenée à comprendre comment procède un attaquant. Quand on traite, par exemple, un cas comme celui de la chaîne de télévision TV5 Monde (3), on essaie de décrypter tout le processus : comment cet attaquant est entré dans le système, ce qu'il a cherché à y faire, quels outils techniques il a utilisés, quelles faiblesses du système il a exploitées. Cette compréhension technique est essentielle pour, dans un premier temps, bloquer l'attaquant et, ensuite, réparer les systèmes d'information compromis. Car il ne suffit pas de réinstaller tous les ordinateurs comme si de rien n'était : si l'attaquant a su entrer une première fois dans le système, il saura le faire une deuxième fois. Il est donc nécessaire de repenser la protection qui comportait forcément des failles.

L'ANSSI traite les cas les plus graves détectés en France et qui touchent des administrations ou des opérateurs d'importance vitale (OIV). D'une affaire à l'autre, on ne voit pas forcément les mêmes choses. Parfois, on identifie des bouts de puzzle qui s'assemblent en mettant en regard plusieurs attaques. On devine alors que le même attaquant peut se trouver derrière ces agressions, parce qu'il utilise les mêmes outils ou les mêmes modes opératoires. Peu à peu se dessine son fonctionnement. En revanche, nous nous arrêtons à ce stade : nous n'allons pas jusqu'à l'identifier formellement, car ce n'est pas dans les missions de l'agence et nous n'en serions de toute façon pas capables aujourd'hui. Il est très difficile de déterminer de quel pays vient l'attaquant et qui se trouve réellement derrière cette attaque. Même si, généralement, on dispose d'un faisceau d'indices.



T. H. - C'est-à-dire ?



G. P. - Nous pouvons déterminer ce qui intéresse l'attaquant, identifier la langue des commentaires dans les outils qu'il utilise, son alphabet. On peut observer, aussi, que l'attaquant est actif sur tel fuseau horaire et que - comme par hasard - il l'est peu à l'occasion des jours fériés dans un pays déterminé. Mais tous ces indices pris séparément sont relativement faibles ; et il est assez facile de faire porter le chapeau à quelqu'un d'autre. Par exemple, on peut tout à fait imaginer un attaquant qui n'aurait rien à voir avec les Russes mais qui glisserait des commentaires en cyrillique, travaillerait aux horaires de Moscou et n'agirait pas à l'occasion des jours fériés du calendrier orthodoxe... Nous ne recueillons donc pas de preuves définitives mais des indices. Pour arriver à une attribution en bonne et due forme, il faut ensuite croiser ces indices avec d'autres renseignements - si possible avec des enquêtes judiciaires. Mais révéler, ou non, que l'agresseur est Untel est une décision d'ordre politique. L'ANSSI ne dira jamais : « Ce sont les Russes, ce sont les Chinois, ce sont les Américains... » En revanche, nous pouvons affirmer que l'attaquant responsable d'une attaque puis d'une autre est probablement le même.



T. H. - Des attaques ont-elles pu, néanmoins, être formellement attribuées à un pays ou à un groupe ?



G. P. - La France n'a jamais, jusqu'à présent, attribué formellement une attaque à un pays ou à un groupe d'attaquants.



T. H. - On dit souvent que l'attaque qui a visé TV5, apparemment revendiquée par la mouvance islamiste, avait en réalité été commise par un autre acteur. Est-ce exact ?



G. P. - Oui. Même s'il y a eu au même moment, sur les réseaux sociaux d'inspiration djihadiste, une campagne très agressive visant TV5, les experts en terrorisme ont très rapidement noté des incohérences dans le contenu de la revendication concernant l'attaque informatique visant la chaîne. D'autre part, nos experts à nous, à l'issue d'une visite immédiate dans les bureaux de TV5, ont relevé des points communs avec d'autres attaques commises par le passé. Ce type d'agression ne ressemble pas du tout à celles des djihadistes mais, bien plus, à un type de groupe (4) qui n'a rien à voir avec cette mouvance. Cela dit - j'insiste sur ce point - la prudence est de mise dans cette affaire. Nous savons pertinemment, je vous l'ai dit, à quel point il est facile de se faire passer pour un autre. Et si nous ne sommes pas assez prudents, on court le risque de se faire manipuler.



T. H. - Certains pays disposent-ils d'unités de « combattants numériques » ?



G. P. - C'est le cas de la Russie, des États-Unis, de la Chine, mais aussi de la France dont le ministère de la Défense a récemment mis en place un cyber-commandement (5). Tous les pays vont développer - de manière plus ou moins avancée - une compétence en matière de renseignement et de combat numérique. Pourquoi ? Tout simplement parce qu'il s'agit d'un nouvel espace de conflit qui s'ajoute à la terre, la mer, l'air et l'espace : ne pas y être présent, ce serait se priver d'y jouer un rôle et faire le choix de devenir une sorte de pays neutre. Ce ne serait pas une option raisonnable pour un pays comme la France. Il convient donc de prendre les mesures nécessaires - tout en évitant que ces moyens offensifs prolifèrent et que ce type de technologies finisse par tomber dans des mains qui ne seraient pas raisonnables.



T. H. - On pense au virus Stuxnet (6) qui a paralysé le programme nucléaire iranien...



G. P. - Il s'agit d'une attaque menée à des fins de non-prolifération. Comment bloquer la progression d'un programme nucléaire ? Le moyen classique d'y parvenir - qui n'est pas de notre ressort - consiste à envoyer des bombardiers afin de larguer un tapis de bombes. Mais les dégâts sont alors considérables, et les conséquences diplomatiques et militaires très importantes. À l'inverse, une intrusion informatique destinée à provoquer des dysfonctionnements dans ces installations industrielles peut obtenir des résultats comparables à ceux d'une attaque militaire classique. Indéniablement, une telle perspective ouvre un pan nouveau sur le plan de l'action clandestine, là où une action conventionnelle était beaucoup plus compliquée à conduire.



T. H. - Quelles sont les principales cibles dans notre pays ?



G. P. - Les attaques informatiques visant la France sont loin d'être homogènes ! Elles peuvent aller du blocage d'un site Internet pendant dix minutes (le déni de service) à la défiguration de site (comme un graffiti sur un mur mais visible du monde entier), en passant par des attaques mineures liées à la criminalité. À l'autre bout du spectre se situent des attaques massives, comme celle qui a visé TV5 Monde, dont le but est de détruire l'intégralité d'un système d'information. En clair, il ne faut pas mettre sur le même plan la petite incivilité et le crime de sang.

Aujourd'hui, l'ANSSI traite essentiellement des attaques dont l'objectif est de voler des informations stratégiques (informations économiques et techniques, contenu de messageries électroniques, plans, etc.). Notre agence conduit une vingtaine d'opérations majeures par an, et ce nombre va croissant. Nous intervenons seulement dans les cas les plus graves, c'est-à-dire dans les cas de pertes d'informations qui nuisent gravement au potentiel économique de notre pays, parfois même à notre sécurité nationale.



T. H. - Quand vous dites « pertes », voulez-vous dire « vols » ?



G. P. - Absolument. Quand nous enquêtons chez la victime, nous parvenons à savoir quelles données ont été subtilisées. Et, parfois, même si je ne peux pas vous donner d'exemples, cela fait froid dans le dos ! Les victimes sont, en effet, ce que l'on appelle des « opérateurs d'importance vitale » qui ont un rôle essentiel dans la sécurité nationale de notre pays. Toutes les attaques dénombrées par le ministère de la Défense ne sont certes pas aussi sérieuses que celles dont nous venons de parler, mais nous faisons face à une agression numérique permanente.



T. H. - Sans trahir de secret d'État, pouvez-vous néanmoins citer le type de cibles visées ?



G. P. - Il n'y a pas de cible particulière. Les attaquants sont partout et visent toutes sortes de structures, du particulier à l'entreprise du CAC 40 en passant par les PME, les administrations, etc. Pour les opérateurs d'importance vitale (OIV), il y a douze secteurs répertoriés dont l'énergie, les transports, la finance, etc. Cependant, il ne faut pas sous-estimer l'importance des PME : si l'une d'entre elles est attaquée, c'est un fait divers ; mais si 10 % des PME françaises l'étaient simultanément, alors il y aurait un blocage pour toute la nation !



T. H. - Comment expliquer l'augmentation de ce nombre d'attaques majeures que vous évoquiez ?



G. P. - Il est probable que les attaques sont plus nombreuses qu'auparavant, mais il est aussi certain que nous sommes de plus en plus souvent capables de les déceler. Souvent, on se rend compte qu'elles sont en cours depuis plusieurs mois, voire plusieurs années ! On les détecte, de manière indirecte, très longtemps après, notamment grâce aux effets induits par l'espionnage industriel. Un responsable d'une entreprise m'a ainsi confié avoir compris qu'il avait été espionné le jour où il s'est aperçu, lors d'un salon, que son concurrent direct exposait le produit qu'il s'apprêtait lui-même à présenter...



Nous travaillons beaucoup, précisément, avec les industriels pour essayer de repérer au plus tôt les attaques dont ils peuvent être les victimes. Entre une attaque détectée dans la journée ou au bout de trois ans, l'impact change du tout au tout. Dans le cas de TV5 Monde, l'attaque a paru foudroyante. Ce fut le cas au moment où l'agresseur a décidé de passer à l'action. Mais, en réalité, il était entré deux mois auparavant à l'intérieur même du système. Pendant ce laps de temps, il a cartographié, préparé méthodiquement son forfait, fait du repérage avant de déclencher son attaque une fois qu'il savait que les dégâts seraient collatéraux.

T. H. - Êtes-vous particulièrement préoccupé par le phénomène des rançongiciels ?



G. P. - C'est une criminalité véritablement galopante qui peut concerner n'importe qui. Les voleurs cryptent les données d'une entreprise ; dès lors, ces dernières, si elles veulent accéder à leurs propres données, doivent verser une rançon. Des groupes criminels ont réussi à élaborer un modèle économique derrière cette pollution connue depuis le début de l'informatique. Certains d'entre eux gagnent aujourd'hui de l'argent, et même énormément d'argent. Nous sommes très loin du cliché romantique de l'étudiant qui chercherait à arrondir ses fins de mois... Il s'agit de réseaux criminels, de vrais « méchants » qui se livrent, entre autres, à du trafic de drogue - mais ce sont sans nul doute les cyber-attaques qui leur rapportent le plus d'argent. Et ce type d'activité est bien moins dangereux pour eux !

À cet égard, ma plus grande préoccupation, aujourd'hui, porte sur les PME qui ne disposent pas de moyens de protection suffisants. Le sens de l'histoire allant vers une externalisation des moyens informatiques, la solution, pour elles, consisterait à aller vers une externalisation du numérique et de sa protection.



T. H. - Les rançongiciels sont-ils vraiment plus rentables que les activités criminelles traditionnelles ?



G. P. - Ce qui est sûr, c'est qu'ils rapportent des sommes colossales : des centaines de millions, pour ne pas dire des milliards d'euros ! Les grands groupes ne sont pas les seuls visés. C'est le cas aussi des PME, des hôpitaux, des particuliers. Les demandes de rançon sont généralement faibles, oscillant autour de 1 000 euros. Or entre perdre toutes ses données et payer une somme relativement modeste, on n'hésite généralement pas longtemps. Un grand hôpital américain (7) a ainsi versé 17 000 dollars, tout simplement parce que l'interruption de son activité durant une journée entière lui aurait coûté plus cher que cette somme. Cependant, l'ANSSI préconise de ne jamais payer de rançon car vous n'êtes pas certain de récupérer vos données.

Les cibles de haute valeur sont généralement visées par des attaquants plus puissants qui utilisent des moyens plus robustes pour atteindre des objectifs spécifiques - du sur-mesure, en quelque sorte. Ces cibles peuvent être économiques mais aussi stratégiques. L'attaque qui a visé l'Estonie en 2007 fut la première de ce type (8).

Notre très grande crainte, à ce jour, porte sur une attaque informatique qui ne viserait pas à voler de l'information mais à faire dysfonctionner, voire à détruire des systèmes physiques : dans les transports, l'énergie, les télécommunications, la finance, l'industrie de production, etc. Autrement dit, dans ces secteurs d'activité d'importance vitale que j'évoquais auparavant. Prenez, par exemple, les distributeurs d'eau potable : il y a peu d'informations à voler dans ce secteur, mais depuis l'autre bout du monde des gens peuvent très bien chercher à abîmer cet outil, à le rendre inefficace, à le bloquer, voire à trafiquer les concentrations de chlore afin de provoquer des effets massifs sur la population, soit en affectant directement la santé de nos concitoyens, soit en suscitant une réaction de terreur. Quand l'eau cesse de couler du robinet, la panique s'installe très vite !



T. H. - À votre connaissance, de telles intrusions ont-elles déjà eu lieu ?



G. P. - Nous n'avons pas de preuves formelles dans ce domaine mais quelques cas nous inquiètent particulièrement, tout comme ils préoccupent nos alliés : des assaillants de très haut niveau sont déjà parvenus à entrer dans des réseaux de ce type. Ils les cartographient, cherchent à comprendre leur fonctionnement, parfois pendant plusieurs mois, mais sans nécessairement voler d'informations. Quelle est leur motivation? Peut-être passeront-ils à l'action quand bon leur semblera afin d'obtenir une rançon, ou bien préparent-ils des actions de sabotage à mener dans le cadre d'un conflit... Des groupes - ou des États - peuvent également concevoir des capacités de ce type sans forcément les utiliser pour le moment. Ils les tiennent prêtes, en quelque sorte, pour passer à l'action le jour où ils auront décidé de le faire.



T. H. - La France est-elle particulièrement ciblée ?



G. P. - Pas plus que d'autres pays. Disons que les États sont ciblés en proportion de leur développement numérique. C'est tout le paradoxe : plus le domaine digital d'un pays est développé, plus ce pays devient une cible intéressante ! La sécurité numérique doit absolument accompagner le développement de ce secteur si on veut aller de l'avant. Dans le cas contraire, on prendrait des risques immenses, notamment celui de ruiner la confiance dans ce secteur stratégique.



T. H. - La décision d'annuler le vote électronique des Français de l'étranger lors de la dernière élection présidentielle a-t-elle marqué un vrai échec pour vous ?



G. P. - Malgré tous les travaux conduits par le ministère des Affaires étrangères, par les prestataires sélectionnés et par l'ANSSI, il fallait répondre à une question fondamentale et prendre une décision en conséquence : le système était-il à la hauteur de la menace ? Si des attaquants de haut niveau avaient décidé de porter atteinte à la régularité du vote, auraient-ils été capables de le faire ? Le blocage - une menace grave pour une élection de niveau national - est l'attaque la plus facile à conduire. Pour ce qui est d'une éventuelle manipulation des résultats, c'est un risque qu'on ne peut pas exclure mais c'est une action plus compliquée à mener - et, bien sûr, plus grave aussi. Nous avons finalement estimé que nous n'étions pas prêts à résister à une telle attaque. Cette décision n'a pas été prise de gaieté de coeur, mais notre responsabilité était surtout de ne pas vendre du rêve.



T. H. - Aviez-vous eu des indices attestant de possibles intrusions dans notre système électoral ?



G. P. - Disons que nous avons été obligés de tenir compte de ce qui s'était passé lors de la dernière campagne présidentielle aux États-Unis. Celle-ci a été fortement perturbée par des attaquants qui sont parvenus à voler des informations (en l'occurrence de la correspondance privée) et à les diffuser à des fins de déstabilisation (9). Il est très facile de glisser un faux message au milieu d'une vraie correspondance... Quoi qu'il en soit, cette affaire a prouvé que des groupes de haut niveau avaient eu la volonté de s'ingérer dans le déroulement des élections outre-Atlantique. Le Comité démocrate (l'organisme qui dirige le Parti démocrate à l'échelle nationale) avait été averti par le FBI, mais il n'y a pas cru.



Suite à ce précédent, nous n'avons pas voulu prendre de risques pour ce qui concerne le vote électronique des Français résidant à l'étranger. Soit dit en passant, les Pays-Bas ont, eux aussi, renoncé au vote électronique lors des élections de mars dernier. Par ailleurs, nous avons alerté le ministère de l'Intérieur (qui est impliqué dans le décompte des voix) ainsi que les partis politiques et les équipes de campagne. Ce sont des cibles potentielles qui peuvent subir les mêmes avanies que le Parti démocrate aux États-Unis. Leur plan stratégique, leurs listes d'adhérents, leurs mails internes peuvent être ciblés. Or, même si l'on a bonne conscience et rien à se reprocher, une correspondance privée a vocation à le rester. Ce type d'alerte était totalement inédit chez nous : il y a cinq ans, personne n'en parlait.

T. H. - Le 5 mai dernier, deux jours avant le second tour de l'élection présidentielle, le mouvement d'Emmanuel Macron, En marche !, a dénoncé un « piratage massif et coordonné » d'informations « internes de nature diverse (mails, documents comptables, contrats...) ». Que s'est-il passé, au juste ?



G. P. - Tout ce que je peux vous dire, c'est que l'ANSSI a été saisie par la Commission nationale de contrôle de la campagne électorale en vue de l'élection présidentielle (CNCCEP) pour apporter son expertise technique. Une enquête a depuis été ouverte par le parquet de Paris. Elle a été confiée à la Brigade d'enquête sur les fraudes aux technologies de l'information (BEFTI) de la préfecture de police de Paris.



T. H. - En novembre 2016, le Liberia a été paralysé par des attaques informatiques massives (10). Ce genre d'attaque peut-il se multiplier ?



G. P. - Fin 2016, nous avons subi plusieurs attaques en France, aux États-Unis, en Afrique. Nous ne savons pas qui les a menées, ni avec quelles motivations - et c'est sans doute le plus inquiétant. En tout état de cause, ces attaquants sont parvenus à mettre en oeuvre des capacités de blocage inédites jusqu'alors par leur ampleur et par la violence de ces actions.

Comment procèdent-ils ? Ils submergent votre serveur par un afflux de demandes d'accès, et tout le système se grippe. L'attaquant tire parti des nouveaux objets numériques (ce qu'on appelle les objets connectés comme, par exemple, des caméras connectées à Internet) pour engorger les systèmes à une échelle totalement inédite. Aux États-Unis, le fournisseur d'accès Dyn (11) a été visé, et Netflix carrément bloqué. Ces acteurs ont-ils subi une tentative de chantage ? À l'approche de Noël, ces sites de vente en ligne sont, souvent, victimes de ce type d'attaques et de chantage. Dans le cas du Liberia, on ne peut pas exclure, vu l'ampleur de l'attaque, qu'il s'agisse d'États préparant et testant des armes du futur. Le fait est qu'on peut, aujourd'hui, déconnecter d'Internet un pays entier tel que le Liberia.



T. H. - Avez-vous déjà repéré des intrusions effectuées par des groupes terroristes, du type État islamique ?



G. P. - Non. Il est vrai qu'ils sont plutôt doués dans l'usage des moyens numériques modernes comme les réseaux sociaux et la propagande numérique. Mais cela n'a rien à voir avec la capacité à mener une attaque numérique. En revanche, des groupes mafieux, ceux qui se livrent au rançonnage, peuvent tout à fait vendre leurs capacités de nuisance. Le scénario le plus probable, et qui nous inquiète beaucoup, est le suivant : des groupes criminels vendent leurs capacités à des terroristes disposant de ressources financières mais pas de la compétence requise pour, in fine, porter atteinte à nos démocraties.

Or ce genre de « service » se vend sur Internet. On le voit à petite échelle : sur le Darknet (12), vous pouvez contacter des spécialistes qui, pour tel ou tel prix, bloqueront le serveur d'un de vos concurrents. Il existe même un tarif à la minute ; et, pour une heure, vous avez droit à une promotion !



T. H. - Est-il possible de neutraliser ces groupes criminels à distance ?



G. P. - Il est important de comprendre comment ces groupes fonctionnent et de développer une coopération internationale face à une menace qui, par nature, se joue des frontières. Chacun en a bien pris conscience et la coopération judiciaire avec les États et les grandes entreprises du numérique est en train de se développer. Pour le reste, les extraditions d'attaquants informatiques demeurent rares, ne serait-ce que parce qu'ils sont parfois bien tapis dans certains pays, même s'ils y ont été repérés. Ces crimes ne sont pas encore jugés à la hauteur de leur gravité. Les appareils judiciaires doivent impérativement développer leur capacité à juger ce type de criminalité. Il y a vingt ans, quelqu'un qui menait une attaque n'était pas jugé et même parfois embauché par des grandes sociétés informatiques ou par des États pour ses compétences techniques ! Aujourd'hui, il est traité comme un criminel.



T. H. - En termes juridiques, dans quelle mesure peut-on réglementer le cyberespace ?



G. P. - Le cyberespace étant aussi un lieu de conflictualité, il convient d'examiner la capacité à adapter le droit de la guerre dans ce nouveau milieu. Le centre d'excellence de l'Otan, installé à Tallinn (Estonie), travaille beaucoup sur ces questions majeures. Un exemple : comment déclenche-t-on l'article 5 du traité de l'Otan, qui prévoit l'assistance mutuelle des États membres, en cas d'agression dans le cyber-espace ?

Quand on est visé par un missile, on sait généralement d'où il vient. Une agression armée est revendiquée. Dans le cyberespace, on peut subir une attaque massive qui porte atteinte à nos intérêts vitaux mais dont on peine à attribuer l'origine. Comment adapter les mécanismes d'entraide habituels ?

Le droit de la guerre stipule, par ailleurs, qu'on ne fait pas n'importe quoi : on ne vise pas les hôpitaux, les civils... Des conventions existent, qui ont pris parfois des siècles avant d'être mises en place. Là encore, comment transposer ces règles dans le cyberespace ?



T. H. - Comment garantir une forme de stabilité, disons de paix, dans le cyber-espace ?



G. P. - On admet aujourd'hui que le droit international classique s'y applique. Mais cela ne suffit pas. Certaines règles de ce droit ne sont pas immédiatement aptes à être retranscrites et traduites dans le domaine du numérique. Il nous faut probablement inventer de nouvelles règles en la matière.

Prenons un exemple : en cas d'attaque par des moyens informatiques, est-il possible de répliquer ? Dans le monde classique, on part du principe que les États ont droit à la légitime défense. Mais en quoi consiste-t-elle dans le cyberespace ? Qui a le droit de répliquer ?

Aux États-Unis, certains experts affirment que n'importe quelle victime - une entreprise, un individu - peut se faire justice elle-même. C'est ce qu'on appelle le hack back et qui est assez cohérent avec la culture de ce pays où le port d'arme est légal dans nombre d'États. Dans le Far West, on circule avec son colt à la ceinture. Et si on vous tire dessus, vous répliquez immédiatement. En France, on ne se fait pas justice soi-même ; on fait appel aux capacités régaliennes pour se protéger, enquêter et rendre la justice.



T. H. - D'autant que, on y revient, pour rendre la justice il faut au préalable avoir identifié l'agresseur...



G. P. - À cet égard, les Américains emploient la notion de smoking gun : le colt qui vient d'être dégainé reste chaud et sent la poudre. Mais dans le cyberespace, les smoking guns n'existent pas, en règle générale. Les armes utilisées restent froides. Le grand risque, c'est qu'en toute bonne foi des gens cherchant à se protéger s'en prennent à des innocents. Quand tout le monde est armé et commence à tirer dans tous les sens, on évolue dans le Far West de Lucky Luke ! Et c'est cela, précisément, qu'il faut éviter mais qui peut advenir très vite si l'on n'y prend pas garde.



T. H. - Les Américains n'ont-ils pas été assez clairs sur le smoking gun russe lors de la dernière présidentielle ?



G. P. - Ils ont visiblement attribué aux Russes les fuites que nous avons évoquées précédemment, sur la base des renseignements dont ils disposaient. Mais ils ne peuvent pas divulguer toutes leurs preuves sans risquer de révéler leurs propres capacités et, donc de les perdre, voire de mettre en danger leurs « sources humaines ». Autre possibilité : les Américains bluffent. Dans ce domaine, on n'est jamais à l'abri de rien...



T. H. - N'est-il pas possible, néanmoins, d'envoyer un signal à l'adversaire en lui montrant de quoi on est capable s'il nous menace ?



G. P. - Peut-être que certaines attaques récentes, en apparence non expliquées (comme aux États-Unis en octobre 2016 ou au Liberia quelques semaines plus tard), sont précisément des « preuves » de compétence. Dans le domaine du nucléaire, on tire régulièrement un missile pour démontrer ses capacités. Il s'agit de programmes ultra-secrets... et pourtant, il faut que les tests soient bien visibles ! Il en va de même dans le cyberespace.



T. H. - Diriez-vous que nous sommes engagés dans une sorte de course contre la montre entre les attaquants qui développent sans cesse leurs capacités d'agression et les États qui cherchent à renforcer leurs défenses ?



G. P. - C'est l'éternelle course entre le glaive et le bouclier. La course aux armements est bien réelle et, simultanément, nous menons une course à la protection. Dans ce domaine, chacun a un rôle à jouer pour assurer sa propre protection : il faut être capable de penser ses systèmes en termes de sécurité, de mettre des barrières au bon endroit, de veiller à ce que l'on ne soit pas attaqué. Il est impossible de mettre en place un bouclier cyber au-dessus de la France ou de l'Europe. Nous diffusons ce message et aidons les gens à se protéger. Pour les opérateurs d'importance vitale, la loi les y oblige (13) : c'est une première à l'échelle internationale. Mais l'État ne peut aider les entreprises et les particuliers efficacement que s'ils se sont d'abord pris en main.



T. H. - Dans le domaine du cyber, répétez-vous, « on n'a pas d'amis, mais on a des alliés ». Pouvez-vous préciser cette distinction ?



G. P. - Nous n'avons pas d'amis dans ce domaine très comparable à celui du renseignement. La plupart des attaques graves que l'on détecte aujourd'hui en France sont menées à des fins d'intelligence économique. En effet, quand on a développé des capacités importantes de renseignement au titre de l'anti-terrorisme, il est très tentant de les utiliser pour faire de l'espionnage économique, y compris chez nos alliés.

Nous ne sommes pas naïfs et nous avons, notamment, analysé en profondeur les révélations faites par Edward Snowden et toutes celles qui ont suivi. Nous savons pertinemment que nos alliés peuvent conduire des actions agressives vis-à-vis de notre pays... mais ils n'en restent pas moins nos alliés ! C'est tout le paradoxe. Nous devons protéger notre souveraineté nationale tout en veillant à ne pas nous isoler et en continuant de coopérer face à des ennemis communs. Sur le plan de la cybersécurité, le volet défensif et le volet offensif se répondent l'un l'autre en permanence.



T. H. - Existe-t-il une forme de coordination entre alliés ?



G. P. - Non seulement elle existe, mais on peut même parler de coopération très forte avec les Allemands, les Britanniques, les Américains... Cette coopération nous renforce tous. Nous échangeons des informations à très haute valeur ajoutée dans le cas d'attaques informatiques mais, dans le même temps, cette confiance n'est pas aveugle. De notre côté, chaque information que nous délivrons est soupesée au préalable afin de ne pas nous fragiliser au passage. Je le dis sans aucun jugement de valeur, mais quand on est en présence des personnels de la NSA américaine ou du GCHQ britannique, chargés de ces questions chez nos alliés, nous savons qu'ils peuvent mener deux missions de nature différente (défensive et offensive), alors que l'ANSSI ne s'occupe que du défensif. Nous ne faisons pas d'offensif, et nous n'en ferons pas.



T. H. - Cet aspect freine-t-il la coopération entre alliés ?



G. P. - Disons que c'est plus simple avec les Allemands dans la mesure où ils ont fait le même choix que nous de séparer les deux champs, défensif et offensif.



T. H. - Vous avez évoqué l'annonce, faite par le ministère de la Défense du précédent gouvernement, de la création d'un commandement cyber. Est-ce une évolution importante ?



G. P. - Cette décision contribue incontestablement à la montée en puissance de ces sujets au sein de ce ministère, du point de vue opérationnel, sur le plan à la fois offensif et défensif. La Défense continue de se muscler, de durcir ses compétences, de s'organiser et d'intégrer le cyber vis-à-vis de l'ensemble des autres chaînes de commandement. Il faut noter que l'Intérieur aussi traite la cybercriminalité de façon de plus en plus efficace et on peut s'en féliciter : il est très important que ces délits n'apparaissent pas comme des délits d'exception et qu'ils soient traités par le système judiciaire français.



T. H. - Qu'en est-il de ces capacités offensives que vous évoquez ?



G. P. - Notre pays peut être amené à mobiliser des capacités offensives dans le domaine du cyber, comme dans d'autres. La doctrine française est extrêmement claire à ce sujet : face à des agressions informatiques très violentes, comparables à une agression armée, la France se réserve l'emploi de l'ensemble de la palette de ses moyens d'action...



(1) Les demandes de rançon sur le web - dites rançongiciels - consistent, pour les hackers, à bloquer le fonctionnement d'un système informatique en chiffrant ses données. L'entreprise ou l'institution paralysée doit alors verser une certaine somme d'argent aux « pirates informatiques » si elle veut pouvoir à nouveau fonctionner normalement.

(2) La cyber-attaque géante menée en mai dernier et baptisée WannaCry a touché 300 000 ordinateurs dans 150 pays. Parmi eux, les systèmes informatiques d'hôpitaux britanniques, du constructeur automobile Renault ou encore de la société américaine de livraison de colis Fedex. Selon le journal La Tribune, il s'agissait d'un logiciel de rançon combinant un « ver » informatique et un logiciel malveillant. Chaque utilisateur piraté devait verser une rançon de 300 dollars (275 euros) pour récupérer ses données, sous peine de les voir supprimées sous sept jours en l'absence de paiement. La rançon a été demandée en bitcoins, une monnaie virtuelle censée préserver l'anonymat de ses propriétaires. Les pirates auraient ainsi récolté l'équivalent de 140 000 dollars, selon le Washington Post. Les commanditaires et exécutants de cette cyber-attaque demeurent inconnus.

(3) Dans la nuit du 8 au 9 avril 2015, la chaîne francophone TV5 Monde a été piratée par des inconnus, obligeant ce média à interrompre brutalement sa diffusion durant quelques heures. Il a fallu des semaines pour « nettoyer » le système informatique afin de revenir à un fonctionnement normal. L'attaque n'a pas été formellement attribuée mais de fortes présomptions pèsent sur des activistes russes.

(4) Selon un rapport publié en 2014 par la société américaine de cyber-sécurité FireEye, APT28 est un « groupe aguerri de développeurs et d'opérateurs qui collectent des données relatives aux problématiques de défense et de géopolitique, des données qui ne pourraient être mises à profit que par un gouvernement ». Ce groupe serait basé en Russie et pourrait bénéficier du soutien caché du gouvernement de Moscou. D'après ce même rapport, APT28 a notamment mené des attaques contre le ministère des Affaires intérieures et le ministère de la Défense géorgiens, ainsi que contre le ministère des Affaires étrangères d'un pays de l'est de l'Europe.

(5) En décembre 2016, le ministre de la Défense de l'époque, Jean-Yves Le Drian, a annoncé la création d'un commandement cyber directement rattaché au chef d'état-major des armées. Cette « quatrième armée », forte de 3 200 experts, pourra mener la riposte en cas de cyber-attaque.

(6) Stuxnet est un ver informatique découvert en 2010 qui aurait été conçu par la NSA pour s'attaquer aux centrifugeuses du programme nucléaire iranien destiné à l'enrichissement d'uranium. Le programme a été initié sous George W. Bush et se serait poursuivi sous Barack Obama. Il aurait commis des dégâts considérables, incitant Téhéran à négocier un compromis avec Washington et d'autres grandes puissances impliquées dans la lutte contre la prolifération nucléaire.

(7) Le Hollywood Presbyterian Medical Center, un hôpital de Los Angeles, a été victime d'un programme malveillant bloquant son réseau informatique pendant une dizaine de jours. Les données médicales de 900 patients ont été dérobées. Les hackers responsables de l'attaque ont demandé plus de 15 000 euros de rançon, en bitcoins, la monnaie virtuelle. Pendant dix jours, l'hôpital a refusé de payer, demandant à son personnel de prendre toutes ses notes sur papier. Mais, totalement paralysé, le Hollywood Presbyterian Medical Center a finalement consenti à payer la rançon.

(8) En avril-mai 2007, l'Estonie a été victime d'une cyber-attaque massive. Les serveurs de ses institutions publiques et privées - ministères, banques, médias - ont été assaillis par des millions de demandes. Envoyés massivement, ces flots de requêtes ont eu tôt fait de saturer les sites, les rendant inaccessibles. Les attaques ont été lancées à partir de 60 pays différents, depuis des millions d'ordinateurs, à l'insu de leurs propriétaires. Pour parvenir à leurs fins, les pirates ont réussi à constituer des réseaux clandestins et éphémères de plus d'un million d'utilisateurs, prompts à noyer les sites au moyen de multiples demandes d'accès. Des groupes de hackers liés à Moscou sont soupçonnés d'être derrière ces attaques, commises au moment où une virulente polémique opposait les deux pays à propos du déplacement vers un cimetière militaire d'une statue à la gloire de l'armée soviétique qui avait été installée en 1947 dans le centre de Tallinn.

(9) Durant la dernière campagne présidentielle aux États-Unis, des milliers de messages internes au Parti démocrate ont été piratés par des inconnus et divulgués par le site WikiLeaks. Des proches de Hillary Clinton, ainsi que l'ex-président Barack Obama, ont évoqué une possible action des services russes visant à déstabiliser la campagne de la candidate démocrate, finalement battue par Donald Trump en novembre 2016.

(10) Le réseau internet du Liberia a été gravement perturbé en novembre 2016 à cause d'une cyber-attaque géante qui a visé l'unique câble internet du pays. Les hackers ont utilisé des logiciels malveillants afin de pirater des objets connectés comme les caméras de surveillance ou les caméras d'enregistrement vidéo situées dans des bureaux afin de mener au Liberia ces attaques dites de déni de service distribué (DDoS). Ces attaques ont été de courte durée mais elles ont perturbé durablement l'activité de plusieurs entreprises de ce pays d'Afrique de l'Ouest.

(11) En octobre 2016, une attaque massive, par déni de service, a visé l'entreprise Dyn aux États-Unis, sorte d'aiguilleur du web, provoquant des pannes en série sur le réseau Twitter, mais aussi Netflix, ou encore le New York Times.

(12) Le Darknet (« web sombre ») est un pan du web auquel on accède par un logiciel et à l'intérieur duquel des sites et autres services sont consultables à l'aide d'un navigateur (comme pour le web officiel). Certains sites demeurent cependant cachés : ils ne sont pas indexés et donc inaccessibles à moins d'en connaître l'adresse. De nombreux sites marchands clandestins y feraient leurs affaires, vendant notamment des produits illicites, drogues et armes à feu, payables en bitcoins.

(13) La Loi de programmation militaire datant de 2013 exige des opérateurs d'importance vitale (OIV, indispensables au bon fonctionnement du pays) qu'ils musclent leur cyberdéfense. Le décret publié en mars 2015 prévoit l'instauration de systèmes de détection d'événements « affectant la sécurité de ces systèmes d'information » des OIV, et organise une série de déclarations en cas d'incidents affectant leur système. Il prévoit aussi une série de contrôles et les réponses à apporter en cas de « crises majeures ». Le premier ministre pourra notamment imposer une liste de mesures aux OIV, sans négociation possible.

 


Notes :


Entretien avec Guillaume Poupard*

* Directeur de l'Agence nationale de la sécurité des systèmes d'information (ANSSI).

la cyber-guerre aura-t-elle lieu ?

Cet entretien a été conduitpar Thomas Hofnung**

** Collaborateur (chef de rubrique)  du site The Conversation. Ancien chargé de la rubrique « Défense » à Libération. Auteur, entre autres publications, de : La Crise en Côte d'Ivoire, La Découverte, 2011.

Des dizaines d'hôpitaux paralysés en Angleterre, des chaînes de montage automobile à l'arrêt en France, des centaines de cibles visées et touchées à travers la planète : la cyber-attaque massive déclenchée il y a quelques semaines a créé la stupeur au sein des opinions publiques. Alors qu'il ne s'agissait que d'un rançongiciel (1), cet épisode illustre de manière éclatante les capacités qu'ont acquises des assaillants non identifiés et très performants. Demain, seront-ils en mesure d'interrompre la distribution de l'eau dans une région, de bloquer le fonctionnement d'une centrale nucléaire ou de semer la zizanie dans le trafic aérien ?

Face à ces menaces bien réelles, les États occidentaux se préparent. En France, la défense « cyber » a été confiée à une institution dont le nom n'est guère connu du grand public. Installée au coeur de l'Hôtel national des Invalides à Paris depuis sa création en 2009 et rattachée au Secrétariat général de la défense et de la sécurité nationale (SGDSN), l'Agence nationale de la sécurité des systèmes d'information (ANSSI) est engagée dans une véritable course contre la montre face à des agresseurs de plus en plus entreprenants. Autrement dit, de plus en plus dangereux.

Peu avant de quitter l'hôtel de Brienne pour le Quai d'Orsay, le désormais ministre des Affaires étrangères Jean-Yves Le Drian révélait que, sur la seule année 2016, 26 000 attaques avaient visé les systèmes d'information du ministère de la Défense, diverses entreprises et institutions françaises, mais aussi de simples particuliers. Dans l'entretien qu'il a accordé à Politique Internationale, le directeur de l'ANSSI, Guillaume Poupard, précise que ce chiffre a priori vertigineux couvre toutes sortes d'agressions - du simple déni de service à des intrusions bien plus sophistiquées dans des systèmes gouvernementaux. Mais le patron de l'ANSSI ne cherche pas à minimiser le danger : il va falloir apprendre à vivre avec une menace permanente, prévient-il, et se préparer à y faire face.

L'attaque spectaculaire qui a secoué la planète il y a quelques semaines, mais aussi le « hacking » des ordinateurs de l'équipe de campagne du candidat Macron ou encore la décision de renoncer au vote électronique pour les Français de l'étranger (suite aux fuites informatiques qui avaient émaillé la campagne présidentielle aux États-Unis) ont donné la juste mesure du danger qui plane sur la France et sur des pays comparables au nôtre en termes de développement numérique.

Car nul n'est à l'abri : plus les systèmes informatiques s'étendent, plus nous devenons vulnérables face à des assaillants qui rivalisent en matière d'innovation destructrice. Qui sont-ils ? Des États ? Des groupes soutenus par des États ? Des réseaux criminels ?

Une chose est sûre : un citoyen averti en vaut deux, tout comme un internaute. On lira donc ici avec profit cet état des lieux très complet que dresse Guillaume Poupard. Sans fard, avec lucidité, non sans inquiétude, mais avec le souci permanent de mobiliser les énergies pour renforcer la sécurité de nos systèmes d'information - c'est-à-dire la sécurité de tous.

T. H.

Thomas Hofnung - En mai 2017, le virus « WannaCry » (2) a frappé dans le monde entier. Une offensive d'une telle ampleur était-elle redoutée ?



Guillaume Poupard - Soyons clairs : nous ne sommes jamais à l'abri d'une attaque de grande ampleur. Elle peut survenir à n'importe quel moment.

Les campagnes de rançongiciels (demandes de rançon sur le web) sont malheureusement des événements récurrents qui font régulièrement l'objet de bulletins d'alerte publiés par notre Centre d'alerte (le Cert-FR). Il n'en reste pas moins que l'ampleur internationale et la virulence de la campagne d'infection mondiale qui a distribué le rançongiciel « WannaCry » est effectivement notable. À cet égard, l'application de mesures préventives constitue aujourd'hui la meilleure défense contre d'éventuelles nouvelles campagnes de rançongiciel. L'ANSSI incite ainsi les entreprises et les administrations à mettre à jour leurs systèmes d'information et leurs logiciels ; à mettre en place des sauvegardes régulières ; et à sensibiliser et former leur personnel aux bonnes pratiques informatiques.



T. H. - Les cyber-attaques, vous l'avez dit, se multiplient. Est-ce l'ANSSI qui est chargée d'identifier leurs auteurs ?



G. P. - L'ANSSI est amenée à comprendre comment procède un attaquant. Quand on traite, par exemple, un cas comme celui de la chaîne de télévision TV5 Monde (3), on essaie de décrypter tout le processus : comment cet attaquant est entré dans le système, ce qu'il a cherché à y faire, quels outils techniques il a utilisés, quelles faiblesses du système il a exploitées. Cette compréhension technique est essentielle pour, dans un premier temps, bloquer l'attaquant et, ensuite, réparer les systèmes d'information compromis. Car il ne suffit pas de réinstaller tous les ordinateurs comme si de rien n'était : si l'attaquant a su entrer une première fois dans le système, il saura le faire une deuxième fois. Il est donc nécessaire de repenser la protection qui comportait forcément des failles.

L'ANSSI traite les cas les plus graves détectés en France et qui touchent des administrations ou des opérateurs d'importance vitale (OIV). D'une affaire à l'autre, on ne voit pas forcément les mêmes choses. Parfois, on identifie des bouts de puzzle qui s'assemblent en mettant en regard plusieurs attaques. On devine alors que le même attaquant peut se trouver derrière ces agressions, parce qu'il utilise les mêmes outils ou les mêmes modes opératoires. Peu à peu se dessine son fonctionnement. En revanche, nous nous arrêtons à ce stade : nous n'allons pas jusqu'à l'identifier formellement, car ce n'est pas dans les missions de l'agence et nous n'en serions de toute façon pas capables aujourd'hui. Il est très difficile de déterminer de quel pays vient l'attaquant et qui se trouve réellement derrière cette attaque. Même si, généralement, on dispose d'un faisceau d'indices.



T. H. - C'est-à-dire ?



G. P. - Nous pouvons déterminer ce qui intéresse l'attaquant, identifier la langue des commentaires dans les outils qu'il utilise, son alphabet. On peut observer, aussi, que l'attaquant est actif sur tel fuseau horaire et que - comme par hasard - il l'est peu à l'occasion des jours fériés dans un pays déterminé. Mais tous ces indices pris séparément sont relativement faibles ; et il est assez facile de faire porter le chapeau à quelqu'un d'autre. Par exemple, on peut tout à fait imaginer un attaquant qui n'aurait rien à voir avec les Russes mais qui glisserait des commentaires en cyrillique, travaillerait aux horaires de Moscou et n'agirait pas à l'occasion des jours fériés du calendrier orthodoxe... Nous ne recueillons donc pas de preuves définitives mais des indices. Pour arriver à une attribution en bonne et due forme, il faut ensuite croiser ces indices avec d'autres renseignements - si possible avec des enquêtes judiciaires. Mais révéler, ou non, que l'agresseur est Untel est une décision d'ordre politique. L'ANSSI ne dira jamais : « Ce sont les Russes, ce sont les Chinois, ce sont les Américains... » En revanche, nous pouvons affirmer que l'attaquant responsable d'une attaque puis d'une autre est probablement le même.



T. H. - Des attaques ont-elles pu, néanmoins, être formellement attribuées à un pays ou à un groupe ?



G. P. - La France n'a jamais, jusqu'à présent, attribué formellement une attaque à un pays ou à un groupe d'attaquants.



T. H. - On dit souvent que l'attaque qui a visé TV5, apparemment revendiquée par la mouvance islamiste, avait en réalité été commise par un autre acteur. Est-ce exact ?



G. P. - Oui. Même s'il y a eu au même moment, sur les réseaux sociaux d'inspiration djihadiste, une campagne très agressive visant TV5, les experts en terrorisme ont très rapidement noté des incohérences dans le contenu de la revendication concernant l'attaque informatique visant la chaîne. D'autre part, nos experts à nous, à l'issue d'une visite immédiate dans les bureaux de TV5, ont relevé des points communs avec d'autres attaques commises par le passé. Ce type d'agression ne ressemble pas du tout à celles des djihadistes mais, bien plus, à un type de groupe (4) qui n'a rien à voir avec cette mouvance. Cela dit - j'insiste sur ce point - la prudence est de mise dans cette affaire. Nous savons pertinemment, je vous l'ai dit, à quel point il est facile de se faire passer pour un autre. Et si nous ne sommes pas assez prudents, on court le risque de se faire manipuler.



T. H. - Certains pays disposent-ils d'unités de « combattants numériques » ?



G. P. - C'est le cas de la Russie, des États-Unis, de la Chine, mais aussi de la France dont le ministère de la Défense a récemment mis en place un cyber-commandement (5). Tous les pays vont développer - de manière plus ou moins avancée - une compétence en matière de renseignement et de combat numérique. Pourquoi ? Tout simplement parce qu'il s'agit d'un nouvel espace de conflit qui s'ajoute à la terre, la mer, l'air et l'espace : ne pas y être présent, ce serait se priver d'y jouer un rôle et faire le choix de devenir une sorte de pays neutre. Ce ne serait pas une option raisonnable pour un pays comme la France. Il convient donc de prendre les mesures nécessaires - tout en évitant que ces moyens offensifs prolifèrent et que ce type de technologies finisse par tomber dans des mains qui ne seraient pas raisonnables.



T. H. - On pense au virus Stuxnet (6) qui a paralysé le programme nucléaire iranien...



G. P. - Il s'agit d'une attaque menée à des fins de non-prolifération. Comment bloquer la progression d'un programme nucléaire ? Le moyen classique d'y parvenir - qui n'est pas de notre ressort - consiste à envoyer des bombardiers afin de larguer un tapis de bombes. Mais les dégâts sont alors considérables, et les conséquences diplomatiques et militaires très importantes. À l'inverse, une intrusion informatique destinée à provoquer des dysfonctionnements dans ces installations industrielles peut obtenir des résultats comparables à ceux d'une attaque militaire classique. Indéniablement, une telle perspective ouvre un pan nouveau sur le plan de l'action clandestine, là où une action conventionnelle était beaucoup plus compliquée à conduire.



T. H. - Quelles sont les principales cibles dans notre pays ?



G. P. - Les attaques informatiques visant la France sont loin d'être homogènes ! Elles peuvent aller du blocage d'un site Internet pendant dix minutes (le déni de service) à la défiguration de site (comme un graffiti sur un mur mais visible du monde entier), en passant par des attaques mineures liées à la criminalité. À l'autre bout du spectre se situent des attaques massives, comme celle qui a visé TV5 Monde, dont le but est de détruire l'intégralité d'un système d'information. En clair, il ne faut pas mettre sur le même plan la petite incivilité et le crime de sang.

Aujourd'hui, l'ANSSI traite essentiellement des attaques dont l'objectif est de voler des informations stratégiques (informations économiques et techniques, contenu de messageries électroniques, plans, etc.). Notre agence conduit une vingtaine d'opérations majeures par an, et ce nombre va croissant. Nous intervenons seulement dans les cas les plus graves, c'est-à-dire dans les cas de pertes d'informations qui nuisent gravement au potentiel économique de notre pays, parfois même à notre sécurité nationale.



T. H. - Quand vous dites « pertes », voulez-vous dire « vols » ?



G. P. - Absolument. Quand nous enquêtons chez la victime, nous parvenons à savoir quelles données ont été subtilisées. Et, parfois, même si je ne peux pas vous donner d'exemples, cela fait froid dans le dos ! Les victimes sont, en effet, ce que l'on appelle des « opérateurs d'importance vitale » qui ont un rôle essentiel dans la sécurité nationale de notre pays. Toutes les attaques dénombrées par le ministère de la Défense ne sont certes pas aussi sérieuses que celles dont nous venons de parler, mais nous faisons face à une agression numérique permanente.



T. H. - Sans trahir de secret d'État, pouvez-vous néanmoins citer le type de cibles visées ?



G. P. - Il n'y a pas de cible particulière. Les attaquants sont partout et visent toutes sortes de structures, du particulier à l'entreprise du CAC 40 en passant par les PME, les administrations, etc. Pour les opérateurs d'importance vitale (OIV), il y a douze secteurs répertoriés dont l'énergie, les transports, la finance, etc. Cependant, il ne faut pas sous-estimer l'importance des PME : si l'une d'entre elles est attaquée, c'est un fait divers ; mais si 10 % des PME françaises l'étaient simultanément, alors il y aurait un blocage pour toute la nation !



T. H. - Comment expliquer l'augmentation de ce nombre d'attaques majeures que vous évoquiez ?



G. P. - Il est probable que les attaques sont plus nombreuses qu'auparavant, mais il est aussi certain que nous sommes de plus en plus souvent capables de les déceler. Souvent, on se rend compte qu'elles sont en cours depuis plusieurs mois, voire plusieurs années ! On les détecte, de manière indirecte, très longtemps après, notamment grâce aux effets induits par l'espionnage industriel. Un responsable d'une entreprise m'a ainsi confié avoir compris qu'il avait été espionné le jour où il s'est aperçu, lors d'un salon, que son concurrent direct exposait le produit qu'il s'apprêtait lui-même à présenter...



Nous travaillons beaucoup, précisément, avec les industriels pour essayer de repérer au plus tôt les attaques dont ils peuvent être les victimes. Entre une attaque détectée dans la journée ou au bout de trois ans, l'impact change du tout au tout. Dans le cas de TV5 Monde, l'attaque a paru foudroyante. Ce fut le cas au moment où l'agresseur a décidé de passer à l'action. Mais, en réalité, il était entré deux mois auparavant à l'intérieur même du système. Pendant ce laps de temps, il a cartographié, préparé méthodiquement son forfait, fait du repérage avant de déclencher son attaque une fois qu'il savait que les dégâts seraient collatéraux.

T. H. - Êtes-vous particulièrement préoccupé par le phénomène des rançongiciels ?



G. P. - C'est une criminalité véritablement galopante qui peut concerner n'importe qui. Les voleurs cryptent les données d'une entreprise ; dès lors, ces dernières, si elles veulent accéder à leurs propres données, doivent verser une rançon. Des groupes criminels ont réussi à élaborer un modèle économique derrière cette pollution connue depuis le début de l'informatique. Certains d'entre eux gagnent aujourd'hui de l'argent, et même énormément d'argent. Nous sommes très loin du cliché romantique de l'étudiant qui chercherait à arrondir ses fins de mois... Il s'agit de réseaux criminels, de vrais « méchants » qui se livrent, entre autres, à du trafic de drogue - mais ce sont sans nul doute les cyber-attaques qui leur rapportent le plus d'argent. Et ce type d'activité est bien moins dangereux pour eux !

À cet égard, ma plus grande préoccupation, aujourd'hui, porte sur les PME qui ne disposent pas de moyens de protection suffisants. Le sens de l'histoire allant vers une externalisation des moyens informatiques, la solution, pour elles, consisterait à aller vers une externalisation du numérique et de sa protection.



T. H. - Les rançongiciels sont-ils vraiment plus rentables que les activités criminelles traditionnelles ?



G. P. - Ce qui est sûr, c'est qu'ils rapportent des sommes colossales : des centaines de millions, pour ne pas dire des milliards d'euros ! Les grands groupes ne sont pas les seuls visés. C'est le cas aussi des PME, des hôpitaux, des particuliers. Les demandes de rançon sont généralement faibles, oscillant autour de 1 000 euros. Or entre perdre toutes ses données et payer une somme relativement modeste, on n'hésite généralement pas longtemps. Un grand hôpital américain (7) a ainsi versé 17 000 dollars, tout simplement parce que l'interruption de son activité durant une journée entière lui aurait coûté plus cher que cette somme. Cependant, l'ANSSI préconise de ne jamais payer de rançon car vous n'êtes pas certain de récupérer vos données.

Les cibles de haute valeur sont généralement visées par des attaquants plus puissants qui utilisent des moyens plus robustes pour atteindre des objectifs spécifiques - du sur-mesure, en quelque sorte. Ces cibles peuvent être économiques mais aussi stratégiques. L'attaque qui a visé l'Estonie en 2007 fut la première de ce type (8).

Notre très grande crainte, à ce jour, porte sur une attaque informatique qui ne viserait pas à voler de l'information mais à faire dysfonctionner, voire à détruire des systèmes physiques : dans les transports, l'énergie, les télécommunications, la finance, l'industrie de production, etc. Autrement dit, dans ces secteurs d'activité d'importance vitale que j'évoquais auparavant. Prenez, par exemple, les distributeurs d'eau potable : il y a peu d'informations à voler dans ce secteur, mais depuis l'autre bout du monde des gens peuvent très bien chercher à abîmer cet outil, à le rendre inefficace, à le bloquer, voire à trafiquer les concentrations de chlore afin de provoquer des effets massifs sur la population, soit en affectant directement la santé de nos concitoyens, soit en suscitant une réaction de terreur. Quand l'eau cesse de couler du robinet, la panique s'installe très vite !



T. H. - À votre connaissance, de telles intrusions ont-elles déjà eu lieu ?



G. P. - Nous n'avons pas de preuves formelles dans ce domaine mais quelques cas nous inquiètent particulièrement, tout comme ils préoccupent nos alliés : des assaillants de très haut niveau sont déjà parvenus à entrer dans des réseaux de ce type. Ils les cartographient, cherchent à comprendre leur fonctionnement, parfois pendant plusieurs mois, mais sans nécessairement voler d'informations. Quelle est leur motivation? Peut-être passeront-ils à l'action quand bon leur semblera afin d'obtenir une rançon, ou bien préparent-ils des actions de sabotage à mener dans le cadre d'un conflit... Des groupes - ou des États - peuvent également concevoir des capacités de ce type sans forcément les utiliser pour le moment. Ils les tiennent prêtes, en quelque sorte, pour passer à l'action le jour où ils auront décidé de le faire.



T. H. - La France est-elle particulièrement ciblée ?



G. P. - Pas plus que d'autres pays. Disons que les États sont ciblés en proportion de leur développement numérique. C'est tout le paradoxe : plus le domaine digital d'un pays est développé, plus ce pays devient une cible intéressante ! La sécurité numérique doit absolument accompagner le développement de ce secteur si on veut aller de l'avant. Dans le cas contraire, on prendrait des risques immenses, notamment celui de ruiner la confiance dans ce secteur stratégique.



T. H. - La décision d'annuler le vote électronique des Français de l'étranger lors de la dernière élection présidentielle a-t-elle marqué un vrai échec pour vous ?



G. P. - Malgré tous les travaux conduits par le ministère des Affaires étrangères, par les prestataires sélectionnés et par l'ANSSI, il fallait répondre à une question fondamentale et prendre une décision en conséquence : le système était-il à la hauteur de la menace ? Si des attaquants de haut niveau avaient décidé de porter atteinte à la régularité du vote, auraient-ils été capables de le faire ? Le blocage - une menace grave pour une élection de niveau national - est l'attaque la plus facile à conduire. Pour ce qui est d'une éventuelle manipulation des résultats, c'est un risque qu'on ne peut pas exclure mais c'est une action plus compliquée à mener - et, bien sûr, plus grave aussi. Nous avons finalement estimé que nous n'étions pas prêts à résister à une telle attaque. Cette décision n'a pas été prise de gaieté de coeur, mais notre responsabilité était surtout de ne pas vendre du rêve.



T. H. - Aviez-vous eu des indices attestant de possibles intrusions dans notre système électoral ?



G. P. - Disons que nous avons été obligés de tenir compte de ce qui s'était passé lors de la dernière campagne présidentielle aux États-Unis. Celle-ci a été fortement perturbée par des attaquants qui sont parvenus à voler des informations (en l'occurrence de la correspondance privée) et à les diffuser à des fins de déstabilisation (9). Il est très facile de glisser un faux message au milieu d'une vraie correspondance... Quoi qu'il en soit, cette affaire a prouvé que des groupes de haut niveau avaient eu la volonté de s'ingérer dans le déroulement des élections outre-Atlantique. Le Comité démocrate (l'organisme qui dirige le Parti démocrate à l'échelle nationale) avait été averti par le FBI, mais il n'y a pas cru.



Suite à ce précédent, nous n'avons pas voulu prendre de risques pour ce qui concerne le vote électronique des Français résidant à l'étranger. Soit dit en passant, les Pays-Bas ont, eux aussi, renoncé au vote électronique lors des élections de mars dernier. Par ailleurs, nous avons alerté le ministère de l'Intérieur (qui est impliqué dans le décompte des voix) ainsi que les partis politiques et les équipes de campagne. Ce sont des cibles potentielles qui peuvent subir les mêmes avanies que le Parti démocrate aux États-Unis. Leur plan stratégique, leurs listes d'adhérents, leurs mails internes peuvent être ciblés. Or, même si l'on a bonne conscience et rien à se reprocher, une correspondance privée a vocation à le rester. Ce type d'alerte était totalement inédit chez nous : il y a cinq ans, personne n'en parlait.

T. H. - Le 5 mai dernier, deux jours avant le second tour de l'élection présidentielle, le mouvement d'Emmanuel Macron, En marche !, a dénoncé un « piratage massif et coordonné » d'informations « internes de nature diverse (mails, documents comptables, contrats...) ». Que s'est-il passé, au juste ?



G. P. - Tout ce que je peux vous dire, c'est que l'ANSSI a été saisie par la Commission nationale de contrôle de la campagne électorale en vue de l'élection présidentielle (CNCCEP) pour apporter son expertise technique. Une enquête a depuis été ouverte par le parquet de Paris. Elle a été confiée à la Brigade d'enquête sur les fraudes aux technologies de l'information (BEFTI) de la préfecture de police de Paris.



T. H. - En novembre 2016, le Liberia a été paralysé par des attaques informatiques massives (10). Ce genre d'attaque peut-il se multiplier ?



G. P. - Fin 2016, nous avons subi plusieurs attaques en France, aux États-Unis, en Afrique. Nous ne savons pas qui les a menées, ni avec quelles motivations - et c'est sans doute le plus inquiétant. En tout état de cause, ces attaquants sont parvenus à mettre en oeuvre des capacités de blocage inédites jusqu'alors par leur ampleur et par la violence de ces actions.

Comment procèdent-ils ? Ils submergent votre serveur par un afflux de demandes d'accès, et tout le système se grippe. L'attaquant tire parti des nouveaux objets numériques (ce qu'on appelle les objets connectés comme, par exemple, des caméras connectées à Internet) pour engorger les systèmes à une échelle totalement inédite. Aux États-Unis, le fournisseur d'accès Dyn (11) a été visé, et Netflix carrément bloqué. Ces acteurs ont-ils subi une tentative de chantage ? À l'approche de Noël, ces sites de vente en ligne sont, souvent, victimes de ce type d'attaques et de chantage. Dans le cas du Liberia, on ne peut pas exclure, vu l'ampleur de l'attaque, qu'il s'agisse d'États préparant et testant des armes du futur. Le fait est qu'on peut, aujourd'hui, déconnecter d'Internet un pays entier tel que le Liberia.



T. H. - Avez-vous déjà repéré des intrusions effectuées par des groupes terroristes, du type État islamique ?



G. P. - Non. Il est vrai qu'ils sont plutôt doués dans l'usage des moyens numériques modernes comme les réseaux sociaux et la propagande numérique. Mais cela n'a rien à voir avec la capacité à mener une attaque numérique. En revanche, des groupes mafieux, ceux qui se livrent au rançonnage, peuvent tout à fait vendre leurs capacités de nuisance. Le scénario le plus probable, et qui nous inquiète beaucoup, est le suivant : des groupes criminels vendent leurs capacités à des terroristes disposant de ressources financières mais pas de la compétence requise pour, in fine, porter atteinte à nos démocraties.

Or ce genre de « service » se vend sur Internet. On le voit à petite échelle : sur le Darknet (12), vous pouvez contacter des spécialistes qui, pour tel ou tel prix, bloqueront le serveur d'un de vos concurrents. Il existe même un tarif à la minute ; et, pour une heure, vous avez droit à une promotion !



T. H. - Est-il possible de neutraliser ces groupes criminels à distance ?



G. P. - Il est important de comprendre comment ces groupes fonctionnent et de développer une coopération internationale face à une menace qui, par nature, se joue des frontières. Chacun en a bien pris conscience et la coopération judiciaire avec les États et les grandes entreprises du numérique est en train de se développer. Pour le reste, les extraditions d'attaquants informatiques demeurent rares, ne serait-ce que parce qu'ils sont parfois bien tapis dans certains pays, même s'ils y ont été repérés. Ces crimes ne sont pas encore jugés à la hauteur de leur gravité. Les appareils judiciaires doivent impérativement développer leur capacité à juger ce type de criminalité. Il y a vingt ans, quelqu'un qui menait une attaque n'était pas jugé et même parfois embauché par des grandes sociétés informatiques ou par des États pour ses compétences techniques ! Aujourd'hui, il est traité comme un criminel.



T. H. - En termes juridiques, dans quelle mesure peut-on réglementer le cyberespace ?



G. P. - Le cyberespace étant aussi un lieu de conflictualité, il convient d'examiner la capacité à adapter le droit de la guerre dans ce nouveau milieu. Le centre d'excellence de l'Otan, installé à Tallinn (Estonie), travaille beaucoup sur ces questions majeures. Un exemple : comment déclenche-t-on l'article 5 du traité de l'Otan, qui prévoit l'assistance mutuelle des États membres, en cas d'agression dans le cyber-espace ?

Quand on est visé par un missile, on sait généralement d'où il vient. Une agression armée est revendiquée. Dans le cyberespace, on peut subir une attaque massive qui porte atteinte à nos intérêts vitaux mais dont on peine à attribuer l'origine. Comment adapter les mécanismes d'entraide habituels ?

Le droit de la guerre stipule, par ailleurs, qu'on ne fait pas n'importe quoi : on ne vise pas les hôpitaux, les civils... Des conventions existent, qui ont pris parfois des siècles avant d'être mises en place. Là encore, comment transposer ces règles dans le cyberespace ?



T. H. - Comment garantir une forme de stabilité, disons de paix, dans le cyber-espace ?



G. P. - On admet aujourd'hui que le droit international classique s'y applique. Mais cela ne suffit pas. Certaines règles de ce droit ne sont pas immédiatement aptes à être retranscrites et traduites dans le domaine du numérique. Il nous faut probablement inventer de nouvelles règles en la matière.

Prenons un exemple : en cas d'attaque par des moyens informatiques, est-il possible de répliquer ? Dans le monde classique, on part du principe que les États ont droit à la légitime défense. Mais en quoi consiste-t-elle dans le cyberespace ? Qui a le droit de répliquer ?

Aux États-Unis, certains experts affirment que n'importe quelle victime - une entreprise, un individu - peut se faire justice elle-même. C'est ce qu'on appelle le hack back et qui est assez cohérent avec la culture de ce pays où le port d'arme est légal dans nombre d'États. Dans le Far West, on circule avec son colt à la ceinture. Et si on vous tire dessus, vous répliquez immédiatement. En France, on ne se fait pas justice soi-même ; on fait appel aux capacités régaliennes pour se protéger, enquêter et rendre la justice.



T. H. - D'autant que, on y revient, pour rendre la justice il faut au préalable avoir identifié l'agresseur...



G. P. - À cet égard, les Américains emploient la notion de smoking gun : le colt qui vient d'être dégainé reste chaud et sent la poudre. Mais dans le cyberespace, les smoking guns n'existent pas, en règle générale. Les armes utilisées restent froides. Le grand risque, c'est qu'en toute bonne foi des gens cherchant à se protéger s'en prennent à des innocents. Quand tout le monde est armé et commence à tirer dans tous les sens, on évolue dans le Far West de Lucky Luke ! Et c'est cela, précisément, qu'il faut éviter mais qui peut advenir très vite si l'on n'y prend pas garde.



T. H. - Les Américains n'ont-ils pas été assez clairs sur le smoking gun russe lors de la dernière présidentielle ?



G. P. - Ils ont visiblement attribué aux Russes les fuites que nous avons évoquées précédemment, sur la base des renseignements dont ils disposaient. Mais ils ne peuvent pas divulguer toutes leurs preuves sans risquer de révéler leurs propres capacités et, donc de les perdre, voire de mettre en danger leurs « sources humaines ». Autre possibilité : les Américains bluffent. Dans ce domaine, on n'est jamais à l'abri de rien...



T. H. - N'est-il pas possible, néanmoins, d'envoyer un signal à l'adversaire en lui montrant de quoi on est capable s'il nous menace ?



G. P. - Peut-être que certaines attaques récentes, en apparence non expliquées (comme aux États-Unis en octobre 2016 ou au Liberia quelques semaines plus tard), sont précisément des « preuves » de compétence. Dans le domaine du nucléaire, on tire régulièrement un missile pour démontrer ses capacités. Il s'agit de programmes ultra-secrets... et pourtant, il faut que les tests soient bien visibles ! Il en va de même dans le cyberespace.



T. H. - Diriez-vous que nous sommes engagés dans une sorte de course contre la montre entre les attaquants qui développent sans cesse leurs capacités d'agression et les États qui cherchent à renforcer leurs défenses ?



G. P. - C'est l'éternelle course entre le glaive et le bouclier. La course aux armements est bien réelle et, simultanément, nous menons une course à la protection. Dans ce domaine, chacun a un rôle à jouer pour assurer sa propre protection : il faut être capable de penser ses systèmes en termes de sécurité, de mettre des barrières au bon endroit, de veiller à ce que l'on ne soit pas attaqué. Il est impossible de mettre en place un bouclier cyber au-dessus de la France ou de l'Europe. Nous diffusons ce message et aidons les gens à se protéger. Pour les opérateurs d'importance vitale, la loi les y oblige (13) : c'est une première à l'échelle internationale. Mais l'État ne peut aider les entreprises et les particuliers efficacement que s'ils se sont d'abord pris en main.



T. H. - Dans le domaine du cyber, répétez-vous, « on n'a pas d'amis, mais on a des alliés ». Pouvez-vous préciser cette distinction ?



G. P. - Nous n'avons pas d'amis dans ce domaine très comparable à celui du renseignement. La plupart des attaques graves que l'on détecte aujourd'hui en France sont menées à des fins d'intelligence économique. En effet, quand on a développé des capacités importantes de renseignement au titre de l'anti-terrorisme, il est très tentant de les utiliser pour faire de l'espionnage économique, y compris chez nos alliés.

Nous ne sommes pas naïfs et nous avons, notamment, analysé en profondeur les révélations faites par Edward Snowden et toutes celles qui ont suivi. Nous savons pertinemment que nos alliés peuvent conduire des actions agressives vis-à-vis de notre pays... mais ils n'en restent pas moins nos alliés ! C'est tout le paradoxe. Nous devons protéger notre souveraineté nationale tout en veillant à ne pas nous isoler et en continuant de coopérer face à des ennemis communs. Sur le plan de la cybersécurité, le volet défensif et le volet offensif se répondent l'un l'autre en permanence.



T. H. - Existe-t-il une forme de coordination entre alliés ?



G. P. - Non seulement elle existe, mais on peut même parler de coopération très forte avec les Allemands, les Britanniques, les Américains... Cette coopération nous renforce tous. Nous échangeons des informations à très haute valeur ajoutée dans le cas d'attaques informatiques mais, dans le même temps, cette confiance n'est pas aveugle. De notre côté, chaque information que nous délivrons est soupesée au préalable afin de ne pas nous fragiliser au passage. Je le dis sans aucun jugement de valeur, mais quand on est en présence des personnels de la NSA américaine ou du GCHQ britannique, chargés de ces questions chez nos alliés, nous savons qu'ils peuvent mener deux missions de nature différente (défensive et offensive), alors que l'ANSSI ne s'occupe que du défensif. Nous ne faisons pas d'offensif, et nous n'en ferons pas.



T. H. - Cet aspect freine-t-il la coopération entre alliés ?



G. P. - Disons que c'est plus simple avec les Allemands dans la mesure où ils ont fait le même choix que nous de séparer les deux champs, défensif et offensif.



T. H. - Vous avez évoqué l'annonce, faite par le ministère de la Défense du précédent gouvernement, de la création d'un commandement cyber. Est-ce une évolution importante ?



G. P. - Cette décision contribue incontestablement à la montée en puissance de ces sujets au sein de ce ministère, du point de vue opérationnel, sur le plan à la fois offensif et défensif. La Défense continue de se muscler, de durcir ses compétences, de s'organiser et d'intégrer le cyber vis-à-vis de l'ensemble des autres chaînes de commandement. Il faut noter que l'Intérieur aussi traite la cybercriminalité de façon de plus en plus efficace et on peut s'en féliciter : il est très important que ces délits n'apparaissent pas comme des délits d'exception et qu'ils soient traités par le système judiciaire français.



T. H. - Qu'en est-il de ces capacités offensives que vous évoquez ?



G. P. - Notre pays peut être amené à mobiliser des capacités offensives dans le domaine du cyber, comme dans d'autres. La doctrine française est extrêmement claire à ce sujet : face à des agressions informatiques très violentes, comparables à une agression armée, la France se réserve l'emploi de l'ensemble de la palette de ses moyens d'action...



(1) Les demandes de rançon sur le web - dites rançongiciels - consistent, pour les hackers, à bloquer le fonctionnement d'un système informatique en chiffrant ses données. L'entreprise ou l'institution paralysée doit alors verser une certaine somme d'argent aux « pirates informatiques » si elle veut pouvoir à nouveau fonctionner normalement.

(2) La cyber-attaque géante menée en mai dernier et baptisée WannaCry a touché 300 000 ordinateurs dans 150 pays. Parmi eux, les systèmes informatiques d'hôpitaux britanniques, du constructeur automobile Renault ou encore de la société américaine de livraison de colis Fedex. Selon le journal La Tribune, il s'agissait d'un logiciel de rançon combinant un « ver » informatique et un logiciel malveillant. Chaque utilisateur piraté devait verser une rançon de 300 dollars (275 euros) pour récupérer ses données, sous peine de les voir supprimées sous sept jours en l'absence de paiement. La rançon a été demandée en bitcoins, une monnaie virtuelle censée préserver l'anonymat de ses propriétaires. Les pirates auraient ainsi récolté l'équivalent de 140 000 dollars, selon le Washington Post. Les commanditaires et exécutants de cette cyber-attaque demeurent inconnus.

(3) Dans la nuit du 8 au 9 avril 2015, la chaîne francophone TV5 Monde a été piratée par des inconnus, obligeant ce média à interrompre brutalement sa diffusion durant quelques heures. Il a fallu des semaines pour « nettoyer » le système informatique afin de revenir à un fonctionnement normal. L'attaque n'a pas été formellement attribuée mais de fortes présomptions pèsent sur des activistes russes.

(4) Selon un rapport publié en 2014 par la société américaine de cyber-sécurité FireEye, APT28 est un « groupe aguerri de développeurs et d'opérateurs qui collectent des données relatives aux problématiques de défense et de géopolitique, des données qui ne pourraient être mises à profit que par un gouvernement ». Ce groupe serait basé en Russie et pourrait bénéficier du soutien caché du gouvernement de Moscou. D'après ce même rapport, APT28 a notamment mené des attaques contre le ministère des Affaires intérieures et le ministère de la Défense géorgiens, ainsi que contre le ministère des Affaires étrangères d'un pays de l'est de l'Europe.

(5) En décembre 2016, le ministre de la Défense de l'époque, Jean-Yves Le Drian, a annoncé la création d'un commandement cyber directement rattaché au chef d'état-major des armées. Cette « quatrième armée », forte de 3 200 experts, pourra mener la riposte en cas de cyber-attaque.

(6) Stuxnet est un ver informatique découvert en 2010 qui aurait été conçu par la NSA pour s'attaquer aux centrifugeuses du programme nucléaire iranien destiné à l'enrichissement d'uranium. Le programme a été initié sous George W. Bush et se serait poursuivi sous Barack Obama. Il aurait commis des dégâts considérables, incitant Téhéran à négocier un compromis avec Washington et d'autres grandes puissances impliquées dans la lutte contre la prolifération nucléaire.

(7) Le Hollywood Presbyterian Medical Center, un hôpital de Los Angeles, a été victime d'un programme malveillant bloquant son réseau informatique pendant une dizaine de jours. Les données médicales de 900 patients ont été dérobées. Les hackers responsables de l'attaque ont demandé plus de 15 000 euros de rançon, en bitcoins, la monnaie virtuelle. Pendant dix jours, l'hôpital a refusé de payer, demandant à son personnel de prendre toutes ses notes sur papier. Mais, totalement paralysé, le Hollywood Presbyterian Medical Center a finalement consenti à payer la rançon.

(8) En avril-mai 2007, l'Estonie a été victime d'une cyber-attaque massive. Les serveurs de ses institutions publiques et privées - ministères, banques, médias - ont été assaillis par des millions de demandes. Envoyés massivement, ces flots de requêtes ont eu tôt fait de saturer les sites, les rendant inaccessibles. Les attaques ont été lancées à partir de 60 pays différents, depuis des millions d'ordinateurs, à l'insu de leurs propriétaires. Pour parvenir à leurs fins, les pirates ont réussi à constituer des réseaux clandestins et éphémères de plus d'un million d'utilisateurs, prompts à noyer les sites au moyen de multiples demandes d'accès. Des groupes de hackers liés à Moscou sont soupçonnés d'être derrière ces attaques, commises au moment où une virulente polémique opposait les deux pays à propos du déplacement vers un cimetière militaire d'une statue à la gloire de l'armée soviétique qui avait été installée en 1947 dans le centre de Tallinn.

(9) Durant la dernière campagne présidentielle aux États-Unis, des milliers de messages internes au Parti démocrate ont été piratés par des inconnus et divulgués par le site WikiLeaks. Des proches de Hillary Clinton, ainsi que l'ex-président Barack Obama, ont évoqué une possible action des services russes visant à déstabiliser la campagne de la candidate démocrate, finalement battue par Donald Trump en novembre 2016.

(10) Le réseau internet du Liberia a été gravement perturbé en novembre 2016 à cause d'une cyber-attaque géante qui a visé l'unique câble internet du pays. Les hackers ont utilisé des logiciels malveillants afin de pirater des objets connectés comme les caméras de surveillance ou les caméras d'enregistrement vidéo situées dans des bureaux afin de mener au Liberia ces attaques dites de déni de service distribué (DDoS). Ces attaques ont été de courte durée mais elles ont perturbé durablement l'activité de plusieurs entreprises de ce pays d'Afrique de l'Ouest.

(11) En octobre 2016, une attaque massive, par déni de service, a visé l'entreprise Dyn aux États-Unis, sorte d'aiguilleur du web, provoquant des pannes en série sur le réseau Twitter, mais aussi Netflix, ou encore le New York Times.

(12) Le Darknet (« web sombre ») est un pan du web auquel on accède par un logiciel et à l'intérieur duquel des sites et autres services sont consultables à l'aide d'un navigateur (comme pour le web officiel). Certains sites demeurent cependant cachés : ils ne sont pas indexés et donc inaccessibles à moins d'en connaître l'adresse. De nombreux sites marchands clandestins y feraient leurs affaires, vendant notamment des produits illicites, drogues et armes à feu, payables en bitcoins.

(13) La Loi de programmation militaire datant de 2013 exige des opérateurs d'importance vitale (OIV, indispensables au bon fonctionnement du pays) qu'ils musclent leur cyberdéfense. Le décret publié en mars 2015 prévoit l'instauration de systèmes de détection d'événements « affectant la sécurité de ces systèmes d'information » des OIV, et organise une série de déclarations en cas d'incidents affectant leur système. Il prévoit aussi une série de contrôles et les réponses à apporter en cas de « crises majeures ». Le premier ministre pourra notamment imposer une liste de mesures aux OIV, sans négociation possible.