La cyber-guerre aura-t-elle lieu ?

Des dizaines d'hôpitaux paralysés en Angleterre, des chaînes de montage automobile à l'arrêt en France, des centaines de cibles visées et touchées à travers la planète : la cyber-attaque massive déclenchée il y a quelques semaines a créé la stupeur au sein des opinions publiques. Alors qu'il ne s'agissait que d'un rançongiciel (1), cet épisode illustre de manière éclatante les capacités qu'ont acquises des assaillants non identifiés et très performants. Demain, seront-ils en mesure d'interrompre la distribution de l'eau dans une région, de bloquer le fonctionnement d'une centrale nucléaire ou de semer la zizanie dans le trafic aérien ?
Face à ces menaces bien réelles, les États occidentaux se préparent. En France, la défense « cyber » a été confiée à une institution dont le nom n'est guère connu du grand public. Installée au coeur de l'Hôtel national des Invalides à Paris depuis sa création en 2009 et rattachée au Secrétariat général de la défense et de la sécurité nationale (SGDSN), l'Agence nationale de la sécurité des systèmes d'information (ANSSI) est engagée dans une véritable course contre la montre face à des agresseurs de plus en plus entreprenants. Autrement dit, de plus en plus dangereux.
Peu avant de quitter l'hôtel de Brienne pour le Quai d'Orsay, le désormais ministre des Affaires étrangères Jean-Yves Le Drian révélait que, sur la seule année 2016, 26 000 attaques avaient visé les systèmes d'information du ministère de la Défense, diverses entreprises et institutions françaises, mais aussi de simples particuliers. Dans l'entretien qu'il a accordé à Politique Internationale, le directeur de l'ANSSI, Guillaume Poupard, précise que ce chiffre a priori vertigineux couvre toutes sortes d'agressions - du simple déni de service à des intrusions bien plus sophistiquées dans des systèmes gouvernementaux. Mais le patron de l'ANSSI ne cherche pas à minimiser le danger : il va falloir apprendre à vivre avec une menace permanente, prévient-il, et se préparer à y faire face.
L'attaque spectaculaire qui a secoué la planète il y a quelques semaines, mais aussi le « hacking » des ordinateurs de l'équipe de campagne du candidat Macron ou encore la décision de renoncer au vote électronique pour les Français de l'étranger (suite aux fuites informatiques qui avaient émaillé la campagne présidentielle aux États-Unis) ont donné la juste mesure du danger qui plane sur la France et sur des pays comparables au nôtre en termes de développement numérique.
Car nul n'est à l'abri : plus les systèmes informatiques s'étendent, plus nous devenons vulnérables face à des assaillants qui rivalisent en matière d'innovation destructrice. Qui sont-ils ? Des États ? Des groupes soutenus par des États ? Des réseaux criminels ?
Une chose est sûre : un citoyen averti en vaut deux, tout comme un internaute. On lira donc ici avec profit cet état des lieux très complet que dresse Guillaume Poupard. Sans fard, avec lucidité, non sans inquiétude, mais avec le souci permanent de mobiliser les énergies pour renforcer la sécurité de nos systèmes d'information - c'est-à-dire la sécurité de tous.
T. H.

Thomas Hofnung - En mai 2017, le virus « WannaCry » (2) a frappé dans le monde entier. Une offensive d'une telle ampleur était-elle redoutée ?
Guillaume Poupard - Soyons clairs : nous ne sommes jamais à l'abri d'une attaque de grande ampleur. Elle peut survenir à n'importe quel moment.
Les campagnes de rançongiciels (demandes de rançon sur le web) sont malheureusement des événements récurrents qui font régulièrement l'objet de bulletins d'alerte publiés par notre Centre d'alerte (le Cert-FR). Il n'en reste pas moins que l'ampleur internationale et la virulence de la campagne d'infection mondiale qui a distribué le rançongiciel « WannaCry » est effectivement notable. À cet égard, l'application de mesures préventives constitue aujourd'hui la meilleure défense contre d'éventuelles nouvelles campagnes de rançongiciel. L'ANSSI incite ainsi les entreprises et les administrations à mettre à jour leurs systèmes d'information et leurs logiciels ; à mettre en place des sauvegardes régulières ; et à sensibiliser et former leur personnel aux bonnes pratiques informatiques.
T. H. - Les cyber-attaques, vous l'avez dit, se multiplient. Est-ce l'ANSSI qui est chargée d'identifier leurs auteurs ?
G. P. - L'ANSSI est amenée à comprendre comment procède un attaquant. Quand on traite, par exemple, un cas comme celui de la chaîne de télévision TV5 Monde (3), on essaie de décrypter tout le processus : comment cet attaquant est entré dans le système, ce qu'il a cherché à y faire, quels outils techniques il a utilisés, quelles faiblesses du système il a exploitées. Cette compréhension technique est essentielle pour, dans un premier temps, bloquer l'attaquant et, ensuite, réparer les systèmes d'information compromis. Car il ne suffit pas de réinstaller tous les ordinateurs comme si de rien n'était : si l'attaquant a su entrer une première fois dans le système, il saura le faire une deuxième fois. Il est donc nécessaire de repenser la protection qui comportait forcément des failles.
L'ANSSI traite les cas les plus graves détectés en France et qui touchent des administrations ou des opérateurs d'importance vitale (OIV). D'une affaire à l'autre, on ne voit pas forcément les mêmes choses. Parfois, on identifie des bouts de puzzle qui s'assemblent en mettant en regard plusieurs attaques. On devine alors que le même attaquant peut se trouver derrière ces agressions, parce qu'il utilise les mêmes outils ou les mêmes modes opératoires. Peu à peu se dessine son fonctionnement. En revanche, nous nous arrêtons à ce stade : nous n'allons pas jusqu'à l'identifier formellement, car ce n'est pas dans les missions de l'agence et nous n'en serions de toute façon pas capables aujourd'hui. Il est très difficile de déterminer de quel pays vient l'attaquant et qui se trouve réellement derrière cette attaque. Même si, généralement, on dispose d'un faisceau d'indices.
T. H. - C'est-à-dire ?
G. P. - Nous pouvons déterminer ce qui intéresse l'attaquant, identifier la langue des commentaires dans les outils qu'il utilise, son alphabet. On peut observer, aussi, que l'attaquant est actif sur tel fuseau horaire et que - comme par hasard - il …