(Lire également notre article sur la nouvelle ère du spam).

L’annonce (ou les fuites) dans la presse d’une intrusion dans les ordinateurs de Bercy alors que la France est à la tête du G20, aiguise notre curiosité :

Comment une intrusion a-t-elle pu avoir lieu ? En particulier dans des ordinateurs supposés bien protégés, puisque utilisés pour des sujets sensibles comme la définition de la politique fiscale française ou les propositions de la gouvernance française du G20.

D’après les informations parues dans la presse, les ordinateurs du ministère des finances étaient « protégés » par des logiciels antivirus du commerce. On peut s’étonner qu’il n’y ait pas plus de protection que pour un ordinateur personnel. Un antivirus plus performant aurait pu empêcher l’intrusion, en bloquant la pièce jointe infectée par un cheval de Troie.

Une cascade de failles

Si l’on reprend la chronologie des faits : une ou plusieurs personnes du ministère des finances a reçu par email un document PDF semblant émaner d’un collègue ou d’un haut-dirigeant. Il faut savoir que, tout comme le courrier postal, le nom de l’expéditeur n’est pas vérifié/vérifiable sans prendre des mesures spécifiques. Pour les emails, il existe notamment des solutions éprouvées telles que « SPF » ou « DKIM »… utilisées par les initiés pour lutter contre le spam.

Ce document PDF était piégé : son ouverture a déclenché l’installation silencieuse d’un logiciel espion, appelé « cheval de Troie ». Cette infection a pu « s’installer » car les ordinateurs des cibles utilisaient une version vulnérable (certains diraient « pas mis à jour ») du logiciel de lecture PDF (tel que Acrobat Reader).

Et même en cas de vulnérabilité du logiciel d’affichage des fichiers PDF, un bon antivirus aurait dû détecter une installation anormale… Mais malheureusement, les éditeurs d’antivirus « grand public » retirent de leur base de mise à jour les anciens virus, considérés comme « éradiqués », pour limiter le volume des mises à jour. Enfin, une bonne pratique consiste à ne pas utiliser un ordinateur avec les droits « administrateur », mais seulement « utilisateur ».

Une fois installé, le logiciel espion (le « cheval de Troie ») a parcouru l’ordinateur à la recherche de documents sur une thématique précise (le G20), probablement à partir d’une bibliothèque de mots clés (nom de personnalités, de pays, de projets…), et a tout simplement envoyé les documents volés par email, en pièce jointe.

A ce stade, il ne reste plus grand-chose à faire : filtrer les emails sortant est techniquement possible, mais les critères à définir seraient trop complexes. Une technique de mise en quarantaine des messages envoyés à de nouveaux destinataires aurait cependant permis de bloquer ces envois.

Il est bien sûr toujours délicat de commenter un dossier aussi sensible, en particulier sans avoir tous les éléments en notre possession. Mais dans le cas présent, il est difficile de ne pas réagir tant les manquements aux règles élémentaires de sécurité paraissent flagrants et… cumulés.

Werner KLINGER
Ingénieur Conseil.