ANSSI : les récentes attaques par défiguration étaient de faible niveau

Compte rendu de la conférence de presse au FIC 2015 16
En bref
image dediée
Crédits : Marc Rees (CC-BY-2.0)
Loi
Marc Rees

Lors de l’édition 2015 du forum international sur la cybersécurité à Lille, Guillaume Poupard a dressé un état des lieux de l’action de l’Agence nationale de la sécurité des systèmes d'information (ANSSI). L’occasion pour revenir sur plusieurs points d’actualité.

400 personnes dans les rangs de l’ANSSI

Lors du Forum international sur la cyber sécurité, le directeur général de l’ANSSI s’est félicité que son agence disposait désormais d’une force de 400 personnes. Ce chiffre « montre la confiance qui nous est faite de la part des autorités en terme de possibilités d’embauche » commente l’intéressé, assurant que l’agence « est capable de trouver des gens très compétents, très motivés ».

Sur ce terrain, il rejette tout procès en assèchement du marché de l’emploi, une critique parfois entendue. « Ma priorité est d’avoir des gens capables de répondre à des enjeux de très haut niveau. Nous n’avons pas de compétition malsaine avec les différentes industries. Quelqu’un qui vient à l’ANSSI n’a pas vocation à y rester 25 ans, même s’il elle le peut. On prend les gens en sortie d’école, on les forme. Si ensuite ils partent chez les cyberindustriels qu’on veut développer en France, pour moi ce n’est pas un échec, bien au contraire ! »

La mise en œuvre de la loi de programmation militaire

L’actualité de l’ANSSI s’oriente surtout sur la mise en œuvre de la loi de programmation militaire. « Nous sommes à fond sur ce texte, notamment l’article 22 qui définit les conditions de protection des opérateurs d’infrastructures vitales (OIV). Une priorité majeure ». Les OIV concernent l’énergie, les télécoms et la finance notamment, bref autant de « domaines où on ne peut pas se permettre d’avoir des attaques majeures que ce soit en terme de renseignement ou de sabotage. »

Les décrets d’application concernant ces dispositions sont désormais dans la boucle. Une réunion interministérielle a eu lieu lundi pour les finaliser et ils prennent désormais la voie du Conseil d’État pour une analyse de légalité. Ensuite viendra leur publication au Journal officiel.

Aiguiller les acteurs via la labellisation

Deux décrets sont spécialement concernés, l’un sur la protection des OIV, l’autre sur la qualification de produits et de prestataires de services. Et pour cause, l’ANSSI publie depuis des mois des référentiels dans différentes thématiques, notamment sur celles des prestataires d’audit et de contrôle.

L’objectif est de signaler aux acteurs les prestataires de confiance via un processus de labellisation. « Celui qui a les plus beaux PowerPoint n’est pas forcément un gage de sécurité ! » tacle Poupard. La démarche pourrait irriguer à terme les règles imposées aux OIV, toujours avec la volonté de gagner des crans de sécurité.

« Nous avons déjà reçu des candidatures d’industriels qui veulent être labellisés » assure le directeur de l’ANSSI. Ces demandes déposées donnent lieu ensuite à une phase d’évaluation des personnes et des structures concernées, qui a déjà été menée pour les PASSI (prestataires d’audit en sécurité des systèmes d’information). « Notre objectif n’est pas de faire un classement, mais de dire qu’au nom du premier ministre, on s’engage sur la confiance dans la qualité de leurs  travaux. »

D’autres domaines seront encore concernés par cet écrémage : la détection des incidents de sécurité (via des sondes pour détecter des comportements anormaux dans le trafic internet), la réaction aux incidents (« réagir à une attaque ne consiste pas à réinstaller un OS »), le cloud enfin. « Certains veulent nous faire croire que le cloud passe par deux ou trois acteurs mondiaux, et que le reste n’existe pas. C’est totalement faux. Nous avons des acteurs en France et en Europe, des petits et des grands, qui se distinguent de la qualité apportée ».

Là encore, un référentiel permettra de distinguer les prestataires dignes de ce nom, et en creux, les autres. « L’enjeu est d’éviter de demander à chaque client de devenir un expert du cloud pour trouver le bon prestataire ». Bref, l’ANSSI veut jouer un rôle de plateforme d’orientation, mais également de « redynamisation de la cyberindustrie », comptant sur l’effet vertueux de ce processus.

Pas de revendication forte en termes d’évolution législative

Alors que la période est source d’intense imagination législative, en ce mois de janvier trop sanglant, l’ANSSI est elle-même demandeuse de nouvelles dispositions juridiques ?

Guillaume Pourpard répond à notre question par la négative : « Je vous avouerai très franchement que nous, tel le boa, on digère la LPM. On avait vraiment des besoins et ces besoins ont été entendus par les parlementaires avec les cinq articles de la LPM qui nous concernent. Mettons ça en œuvre proprement, ça sera déjà un pas énorme et placera la France clairement dans les pays de tête en terme de cybersécurité. »

Dans les 15 derniers jours, des attaques de faible niveau

Ces 15 derniers jours, la France a aussi connu une vague d’attaques par défacement. Qu’en dit l’agence justement ? « On a eu une augmentation du nombre de défigurations des sites internet, mais cette augmentation n’est pas hors de proportions de ce qu’on connait. Cela s’est déjà produit plusieurs fois. Là, c’est très ciblé et je ne veux pas du tout polémiquer sur le chiffre » (voir sur le sujet notre dernier 14h42).

Rapidement, il a été évoqué dans la presse le nombre de 20 000 sites défigurés, alors que le ministère de l’Intérieur a finalement fait part de 1300 attaques lors du FIC. « Parfois une seule attaque permet de défigurer plusieurs dizaines voire centaines de pages. Quand on se met à compter les pages, c’est clairement à l’avantage des attaquants » temporise Poupard qui relativise aussi la profondeur de ces piratages : « ce sont des attaques de faible niveau technique, elles touchent des sites qui sont peu sécurisés, des sites d’écoles, de communes, de petites organisations, certes parfois emblématiques comme le Mémorial de Caen. Techniquement, pour nous, cela reste de faible importance », avec des techniques d’attaques bien connues et bien documentées.

Pour autant l’ANSSI reste en état d’alerte, « pas à cause de ces sites web, mais en raison du climat ambiant et éviter de se faire surprendre ». En effet, « il ne faudrait pas que ces attaques de faible impact opérationnel soient finalement là pour nous détourner d’attaques beaucoup plus discrètes, mais beaucoup plus graves d’exfiltration de données, de piégeages de systèmes industriels, d’OIV ». Rien de tel n’a été observé sur ses cadrans, dans cette foulée.

Autre chose, « ce qu’on observe est de faible niveau, mais cela peut provenir d’une économie de moyens. Si avec de faibles moyens, ça passe, il serait stupide d’afficher des compétences plus élevées et de griller quelque part des moyens d’action plus sensibles ». Une certitude : ces vagues ont mis en lumière les faiblesses de ces sites impactés au regard de vulnérabilités bien connues. « Il y a plein d’erreurs à ne pas faire, il faut des prestataires compétents, et tous ne le sont pas ! »

Interdire la cryptographie ? Préhistorique et passéiste

Enfin, Guillaume Poupard voit d’un œil prudent les revendications entendues ici et là sur la cryptographie. « Le débat qui consiste à se demander s’il faut autoriser la cryptographie n’est pas neuf. On l’a eu en France il y a 20 ans. Nous étions arrivés alors à la conclusion que chercher à interdire la cryptographie c’était totalement passéiste et préhistorique. Je ne vois pas pourquoi cela deviendrait aujourd’hui une bonne idée alors que la cryptographie est partout ! »

Pour mieux cibler ses propos, son idée est que « la sécurité ne doit pas venir en opposition avec la sécurité elle-même ». Plus clairement, « la sécurité de bout en bout, oui et non. Aujourd’hui les télécommunications électroniques doivent pouvoir être interceptées sur réquisition judiciaire ou pour des raisons de sécurité, en étant encadrées par la loi. À un moment, il faut être capable de déchiffrer, mais ce n’est pas parce qu’il faut pouvoir accéder à ces données en clair que tout doit passer en clair. Le mal ce n’est pas la cryptographie, mais l’usage qu’on peut en faire. Il y a un besoin de cadrage. Je pousse pour ma part à développer un usage raisonné de ces techniques de chiffrement. Il ne faut pas chercher à interdire ce qu’on ne peut pas interdire. »


chargement
Chargement des commentaires...