Inquiétudes après une cyberattaque à l'ampleur inégalée contre Bercy

C'est un mouvement de cyberespionnage de grande ampleur dont le ministère des Finances a été victime. Depuis le mois de décembre, les ordinateurs de Bercy ont subi l'intrusion de cyberpirates cherchant des documents liés au G20 et à la politique internationale de la France, a révélé le site Internet de « Paris-Match ». « Il s'agit de professionnels organisés et déterminés. Et non quelqu'un qui s'est improvisé en téléchargeant des logiciels de piratage sur Internet », expliquait lundi soir Patrick Pailloux, directeur de l'Agence nationale de la sécurité des systèmes d'information (Anssi) rattachée à Matignon. L'agence n'a pas détecté ces attaques avant janvier. « Les hackers avaient aussi accès aux messageries. Beaucoup d'informations banales mais aussi des informations sensibles ont été exfiltrées », complète le directeur. Un cheval de troie en PDF« Sur les 170.000 PC de Bercy, 150 ont été infectés. Nous les avons débranchés », explique le secrétaire général de Bercy, Dominique Lamiot. Entre janvier et le week-end dernier, les services du ministère se sont attaché à comprendre quels outils de hacking étaient utilisés, et à vérifier tous les ordinateurs de Bercy et ceux d'autres administration. L'objectif était aussi de remonter la filière. « Vendredi matin, j'ai fait déposer un papier sur les bureaux des collaborateurs pour les informer que leur ordinateur serait coupé tout le week-end pour une opération de maintenance », explique le secrétaire général. Depuis, Bercy assure avoir renforcé ses systèmes de sécurité. Les pirates ont utilisé une arme classique, mais efficace, celle du cheval de Troie. « La faille est arrivée par une pièce jointe PDF [format de Adobe] porteuse d'une faille encore non décelée par l'éditeur », indique le secrétaire général de Bercy. Si la pièce jointe est « la primo infection », les pirates ont employé des « moyens techniques divers qui ont mené à ces attaques », a complété Patrick Pailloux, qui précise que d'autres ministères ont été visés, sans que les hackers n'aient réussi à s'introduire. Le problème a été « éradiqué ». L'affaire est dans les mains du parquet de Paris et de la DCRI (Direction Centrale du Renseignement et de l'Information). Évoquée, la piste chinoise n'est pas confirmée. « Nous n'avons aucun moyen de vérifier l'origine de ces attaques », indique Dominique Lamiot. L'enquête aboutira-t-elle ? « Ce n'est pas gagné, mais cela arrive », a expliqué Patrick Pailloux. Mais un haut fonctionnaire confirme que les cyberattaques viennent « plus souvent de Chine que de Belgique ». Face aux critiques sur le niveau de sécurisation de Bercy, le directeur de l'agence a rappelé que « les antivirus marchent très mal dans ce genre d'affaire. S'il y avait des solutions miraculeuses pour ce type d'attaque, cela se saurait. Ceux qui disent le contraire sont des menteurs ». Les sites gouvernementaux font l'objet de plusieurs dizaines d'attaques piégées par mois. « Le dernier mouvement remonte à quelque semaines. C'était au Quai d'Orsay », selon ce haut fonctionnaire. Les ministères les plus fréquemment visés par les pirates sont Bercy, Matignon, et les ministères de l'Intérieur et des Affaires étrangères.