Le 29 janvier 2015
(à dr.) est équipé d’un téléphone sécurisé pour communiquer avec les hautes autorités civiles et militaires. © Baptiste Giroudon
Alors que, de la Corée du Nord à la Syrie, partout les hackeurs attaquent l’Occident, la France mobilise ses forces.
On est passé de l’attaque à la pioche à l’attaque au rouleau compresseur… Dès l’attentat contre “Charlie Hebdo”, les hackings ont quintuplé de puissance. » Le vice-amiral Arnaud Coustillière supervise un petit salon plein à craquer, qu’il a transformé en cellule de crise. Pour faire face aux suites virtuelles des attentats de janvier, le chef du Commandement opérationnel de cyberdéfense (Coc) a réuni dans l’urgence une équipe qui veille sur l’ensemble des menaces stratégiques d’Internet 24 heures sur 24.
Ces derniers jours, la méthode des hackeurs est relativement simple, mais très efficace. Ils concentrent au même instant des dizaines de milliers de connexions, ou « requêtes », sur un seul site Web, jusqu’à le saturer. Des heures durant, les militaires de la cyberdéfense doivent donc « reboucher » les trous. Les cibles récentes n’avaient guère d’intérêt stratégique, expliquent les militaires. Le but des pirates semblait n’être que de se faire mousser. Mais, dans l’ombre, se préparait une attaque beaucoup plus grave. Fait sans précédent, le Web français s’est retrouvé littéralement pris d’assaut par des hackeurs islamistes, solidaires des frères Kouachi. « Pour l’instant, affirme le vice-amiral Coustillière, on ne peut pas les décrire comme des terroristes car ils ne font pas vraiment de dégâts. Ce sont plutôt des cyber-hooligans, qui cherchent à montrer leur sympathie pour la cause du djihad, notamment en faisant la promotion de Daech. » On pirate la page d’accueil d’un site pour y placer, par exemple, le sigle islamiste noir sur fond blanc. Ainsi, sur l’emplacement du palais de l’Elysée, dans Google Maps, figure brièvement le drapeau islamiste. Des dizaines de mairies, dans le Val-d’Oise et en Seine-Saint-Denis, mais aussi des écoles, des pizzerias ou des discothèques se sont vues affublées sur Internet ou Twitter de l’étendard du djihad.
« C’est après la grande marche du 11 janvier que nous sommes devenus le cœur de cœur de cible, assure Coustillière. On estime qu’environ 19 000 sites Web français ont été “défacés” par des pro-islamistes dans la semaine qui a suivi les attentats ! » Sans parler d’autres attaques d’opportunité, comme celle opérée contre le journal « Le Monde » par la Syrian Electronic Army, un groupe de hackeurs proches de la dictature syrienne…
Cette armée de l’ombre patrouille en permanence sur le web pour y détecter des « flux noirs » et malveillants
Dans la cellule de crise, au cœur même de la cyberdéfense française, les uniformes se mélangent sans distinction : marine, aviation, armée de terre. On puise les compétences où elles se trouvent. Il y a même un officier de la Légion étrangère et quelques civils de l’Agence nationale de la sécurité informatique (Ansi), directement rattachée au Premier ministre pour gérer les aspects non militaires de la sécurité Internet. Là se coordonnent toutes les actions de surveillance des différents réseaux militaires, tant dans l’Hexagone que pour les forces en déploiement. « On a même un groupement d’intervention rapide embarqué sur le “Charles-de-Gaulle” [le porte-avions qui vogue vers le golfe Persique pour contribuer aux frappes aériennes contre Daech] », explique le colonel Laurent qui commande les opérations. Mais depuis les attentats contre « Charlie Hebdo », c’est sur la France que se concentrent les plus gros efforts.
Les informaticiens de la cyberdéfense ont pu pister nombre d’adresses IP des hackeurs, pour tenter de remonter jusqu’aux ordinateurs de ces nouveaux cyberdjihadistes. Bon nombre proviennent du Maghreb, notamment de cellules qui se font appeler « Mauritanian » et « Anonym-Ghost », émanant de la périphérie d’Alger. Mais un nombre important de « défacements » islamistes paraissent aussi originaires de France. « En soi, ça n’est pas une preuve catégorique, explique le lieutenant-colonel William Dupuy. Tout hackeur d’un certain niveau va chercher à faire passer son attaque par un serveur à proximité de sa cible. » Installé dans un immeuble anonyme sur la rive gauche de Paris, Dupuy dirige le Centre d’analyse de lutte informatique défensive (Calid), véritable bras armé de la cyberdéfense française. Ses hommes patrouillent en permanence sur le Web pour y détecter des « flux noirs », c’est-à-dire des lignes de codage inconnues, et donc certainement malveillantes.
19 000 sites français ont été « défacés » par des pro-islamistes après les attentats
L’officier explique qu’on dénombre trois grands types de hacking. D’abord, le vandalisme, comme les « défacements » de ces derniers jours, essentiellement des actions psychologiques ou de propagande qui ne menacent en rien la sécurité informatique nationale. Ensuite l’espionnage. Et, enfin, le sabotage. Il ne s’agit plus ici de ralentir le fonctionnement d’un site Internet ni d’y planter quelques heures un drapeau. L’objectif consiste à se glisser dans un serveur pour en piller les données ou encore le détruire. Voire en prendre le contrôle à distance sans que ses propriétaires légitimes puissent résister. Cela ressemble à des jeux de rôle d’adolescents devant une console, mais les enjeux sont vitaux. Imaginez des comptes en banque qui se vident, des centrales nucléaires qui partent en surchauffe ou le courant électrique qui se dérègle sans qu’on puisse accéder aux ordinateurs de contrôle… « Mais tout cela demande de très grosses capacités informatiques que n’ont pas les cyber-vandales et les criminels, tempère Dupuy. Notre vrai défi, ce sont les Etats, ou les proto-Etats. » Comme Daech qui, depuis les territoires contrôlés en Syrie et en Irak, commencent à développer une réelle menace Internet. « On les voit se structurer, recruter et mettre en place une organisation du travail, assure le commandant du Calid. Là, on entre dans la véritable cyberguerre. »
Pour contrer cette menace, la France se dote actuellement – dans la plus grande discrétion – d’une « compagnie de combat cyber-électronique » qui éperonnera les activités offensives sur les réseaux, et pourra même se déployer avec les forces de combat dans différents pays. Pendant ce temps, le Calid fonctionne déjà en liaison avec direction générale de l’armement (DGA-MI), un centre basé en Bretagne qui travaille sur les menaces informatiques de pointe. Ils sont ainsi plus de 200 ingénieurs et mathématiciens doctorants à pratiquer la « crypto-analyse » pour déchiffrer les lignes de code hostiles, ou le « retro-engineering » pour démonter les mécanismes de virus détectés derrière les lignes de défense. Ces attaques et coups fourrés connaissent une croissance exponentielle. En Europe, le premier cas majeur remonte à 2007, quand des hackeurs russes ont paralysé la distribution de gaz et le secteur bancaire de la petite Estonie voisine. La même année, les Israéliens neutralisaient à distance un radar syrien avant un raid aérien. Puis le Mossad, probablement aidé par la CIA et les Allemands, est parvenu à implanter le ver informatique Stuxnet pour détraquer quelque 30 000 centrifugeuses nucléaires en Iran. Les Iraniens se sont vengés en 2013, avec une attaque contre le système informatique de l’entreprise Aramco qui a failli mettre à genoux l’ensemble de l’industrie pétrolière d’Arabie saoudite…
La Chine est l’un des pays les plus agressifs en matière de guerre électronique
En France, la cyberdéfense affirme avoir contré plus de 110 attaques « significatives » au cours de l’année 2014. Mais secret-défense. Seules deux grandes incursions sont connues : contre l’entreprise nucléaire Areva et contre le ministère de l’Economie et des Finances, en 2011. Avec Israël et la Russie, la Chine compte parmi les pays les plus agressifs en matière de guerre électronique. L’armée chinoise a même formé une unité de hackeurs basée à Shanghai, la « 613-98 », pour espionner l’ensemble des industries stratégiques occidentales. « Pendant un moment, c’était assez facile de les détecter : leurs attaques avaient toujours lieu avec le même décalage horaire, précise le lieutenant-colonel Dupuy. Mais, maintenant, leurs méthodes se sont redoutablement affinées… » Au niveau stratégique, ces attaques d’espionnage émanant d’Etats puissants inquiètent beaucoup plus les militaires français que les actions de bas niveau dont sont capables les cyberdjihadistes et autres activistes du Net. « Il faut réaliser qu’on peut parler d’un véritable pillage commercial des entreprises industrielles européennes et françaises », avertit le vice-amiral Coustillière.
La nouvelle guerre numérique est donc tous azimuts. Elle peut être l’œuvre de groupes criminels motivés par le butin. Ou encore de groupes terroristes qui chercheraient à déstabiliser un pays, non plus en posant des bombes mais en minant ses réseaux informatiques… Elle peut venir d’Etats « voyous » comme d’Etats amis qui espionnent sans vergogne. Dans les profondeurs du Net, il n’y a ni allié ni ennemi. Une métaphore de l’ancien monde sert au vice-amiral Coustillière pour décrire les enjeux de cette nouvelle guerre invisible, celle de la forteresse : « On a 150 000 postes informatiques protégés par un mur d’enceinte, explique-t-il. Notre mission est de défendre ce périmètre. »
