L’affaire fait la Une de toute la presse depuis hier : cent-cinquante postes de travail du Ministère de l’Économie, des Finances et de l’Industrie auraient été compromis dans le cadre d’une attaque particulièrement ciblée et bien organisée. Mais si la presse généraliste a parfaitement couvert les aspects politiques de la chose (l’attaque semble liée aux préparatifs du sommet du G20), les détails de l’attaque font cruellement défaut. Nous pouvons toutefois tenter de reconstituer le scénario avec l’aide d’une source proche du dossier interrogée par SecurityVibes.

L’attaque a pris la forme d’une pièce jointe PDF piégée envoyée à un destinataire particulièrement bien choisi. « Rien de nouveau ici, c’est une technique courante : un mail légitime est intercepté, sa pièce jointe piégée et le tout est renvoyé au destinataire, en se faisant passer pour l’expéditeur original« , nous explique notre contact.

Certes, la cible reçoit alors deux fois le même email, mais elle peut penser qu’il s’agit d’une erreur ou d’une correction. Elle ouvre donc le fichier piégé, qui tente immédiatement d’exécuter un code malveillant sur le poste de travail.

La technique est effectivement très courante, comme le reconnaissait déjà l’an dernier l’administrateur Principal au Secrétariat Général du Conseil de l’Europe : « Des documents pertinents, émis par le Conseil, sont régulièrement interceptés, piégés dans la journée et renvoyés dans le bon bureau, à la bonne personne qui suit le dossier en question« , nous expliquait-il.

A ce stade le code malveillant doit toutefois pouvoir se maintenir sur la machine infectée. Pour cela deux solutions : soit l’utilisateur piégé ne dispose que de droits restreints (une bonne pratique pas toujours respectée car contraignante), auquel cas le code malveillant doit exploiter une vulnérabilité pour élever ses privilèges. Soit l’utilisateur travaille déjà avec des droits administrateurs, et le cheval de Troie peut prendre immédiatement le contrôle de la machine.

Il semble qu’à Bercy ce soit la seconde solution qui ait prévalu « Le souci principal semble être des droits d’administration attribués alors qu’ils n’étaient pas strictement nécessaires, à des individus mais aussi à des applications, par exemple dans le cadre de logiciels d’impression« , confirme notre source. Et il n’y a rien d’étonnant à cela : Bercy est un ministère important, semblable en cela à de nombreuses grandes entreprises privées et probablement confronté aux mêmes difficultés : en dépit de bonnes pratiques et d’une politique de sécurité jugée efficace, il suffit d’un raté – une machine vulnérable – pour miner l’ensemble de l’édifice.

Les postes de travail de Bercy étaient bien entendu équipés d’un antivirus, mais celui-ci s’est révélé inutile face à un code malveillant développé sur mesure. « La défense périmétrique ne peut naturellement pas fonctionner dans ce contexte : il faut mettre en oeuvre une défense en profondeur : notamment la recherche de signaux faibles à travers l’examen des journaux, l’observation des événements ou des requêtes sortantes étranges« , poursuit notre source.

Des éléments de cette défense en profondeur, pourtant, existent déjà bel est bien au sein des ministères français, avec notamment le centre de détection que l’ANSSI annonce avoir déployé. Il vise, selon la description qui en est faite sur le site de l’agence, à détecter les attaques en amont des tentatives, ou en aval pour les incidents qui n’auraient pu être évités, en s’appuyant sur un service de veille 24 heures sur 24 et sur des prestations d’analyse. Un tel dispositif aurait du permettre une détection précoce de l’attaque, notamment en scrutant le trafic sur les passerelles entre l’Intranet et Internet puis en agrégeant le tout (il s’agit très probablement un SIEM et d’équipes d’analystes dédiés).

Mais voilà, Bercy n’en n’était pas encore équipé au moment de l’attaque. Depuis, le ministère est protégé : il aura fallu couper le ministère d’Internet tout un week-end durant afin de « tout remettre au carré » : audit des droits administrateurs, des applications, application des correctifs manquants, et bien entendu installation des sondes et audit du trafic.

A l’avenir, la mise en place récente d’une DSI inter-ministérielle devrait amener une meilleure cohérence entre les politiques de sécurité ministérielles et réduire le nombre de passerelles vers Internet, qui n’en seront que plus aisées à contrôler par le centre d’observation de l’ANSSI.

Quel enseignement tirer de cette affaire ? Tout d’abord que ce type d’attaque peut frapper tout le monde. Le Ministère de l’Économie, des Finances et de l’Industrie n’était pas plus mal protégé que bien des grandes entreprises privées : ses équipes d’exploitation étaient compétentes, il disposait de moyens conséquents et sa politique de sécurité est tout à fait dans la norme selon des sources proches du dossier.

Et pourtant, face à un code malveillant développé pour cette opération et et des attaquants prudents (ils effaçaient leurs traces sur les machines exploitées, à tel point qu’une analyse superficielle par un administrateur n’aurait pas suffit à détecter l’attaque), le ministère est tombé. Et il n’est pas le seul : du Conseil de l’Europe (attaqué quotidiennement) à Google (tombé l’an dernier), ce type d’attaque est courant et généralement très efficace. Bercy ne semble pas avoir commis ici de bourde flagrante : que l’entreprise privée qui gère parfaitement ses droits et ses comptes privilégiés lui jette la première pierre !

Enfin, surtout, que la composante humaine du problème est essentielle : la sensibilisation paie ! « Il faut sensibiliser les utilisateurs à repérer les signaux faibles, les petites choses qui sortent de l’ordinaire, et leur donner le moyen de les remonter au support« , confirme notre source, indiquant qu’à Bercy tout est parti d’un utilisateur vigilant.

Pour ce qui est du bilan, l’impact est encore difficile à évaluer : il n’y a certes eu que 150 postes compromis par le cheval de Troie. Mais cela ne dit rien au sujet des données qui pouvaient être accédées depuis ces postes (par opposition aux données locales qu’ils contiennent). S’ils sont bien ciblés l’effet levier peut être important…

Quant à connaître l’origine de l’attaque, il faudra encore patienter… si on la découvre un jour ! Seule certitude à cette heure : le niveau technique n’est pas très élevé (nous sommes loin de Stuxnet) et il est un peu trop tôt pour accuser la chine : n’importe qui peut acheter un serveur dédié sur le territoire chinois.