Les leçons de la cyber-attaque WannaCry, par Vincent Balouet

Une cyber attaque d’une ampleur et d’une rapidité de diffusion très inhabituelle a touché de nombreux pays, entreprises et activités. Le cœur de la tempête semble être derrière nous, déjà de nombreuses leçons apparaissent clairement.

Techniquement, le mode opératoire de cette attaque n’est pas nouveau : on se souvient de Locky, crypto ransomeware en 2016, mais bien avant cela, les premiers virus de ce type remontent en…1989 ! Le mode opératoire est donc connu et référencé, son véhicule peut varier, mais dans l’ensemble, il ne s’agit pas d’une nouveauté. Les parades sont donc connues, à la fois en prévention (tenir les machine à jour) et en correction (reconstruire la machine et remonter des sauvegardes propres et récentes). Il convient donc de se fortifier et de se tenir prêt. Les entreprises de toute taille doivent disposer de roues de secours et de plans B, c’est le bon sens, c’est l’intérêt général. Une question cependant : au-delà de l’état, qui assure l’animation générale de la robustesse des TPE, PME et ETI afin d’assurer que notre économie puisse faire face à ces phénomènes systémiques ?

Par ailleurs, l’événement récent confirme que nous disposons de bons spécialistes, nos informaticiens et experts en cyber sécurité, nos dispositifs (notamment l’Anssi) sont très compétents. Souvenons nous que la carte à puce, outil majeur de la sécurité des paiements, est une invention française revenant à Roland Moreno, alors que les achats aux Etats Unis sont encore aujourd’hui trop souvent réglés en lisant la simple piste magnétique non sécurisée de cette même carte ….

La volumétrie de l’attaque donne plus d’indication sur ce qu’il convient de faire ; les pirates, pour déployer massivement leurs attaques, se démultiplient. Ils utilisent des réseaux entiers, des rebonds, afin d’attaquer un très grand nombre de cibles en même temps. Pour bien lutter contre ces attaques, c’est-à-dire se remettre en situation normale le plus rapidement possible, la réponse technique et les modes opératoires doivent être identifiés et mis au point rapidement (nous savons bien le faire), mais nous devons les déployer très rapidement, y compris vers les PME/ETI qui disposent de ressources informatique et d’expertise limitées et ne fréquentent pas les réseaux professionnels, faute de moyens. On a pu remarquer que les recommandations de l’ANSSI, conformément à son positionnement, s’adressent prioritairement aux services de l’état et aux opérateurs d’importance vitale. Les associations professionnelles du numérique ont communiqué sur la mise en route de plateforme d’échanges mais réservées à leurs adhérents. Que deviennent les autres en cas d’attaque réellement grave ? Il y a pourtant un précédent, celui du passage à l’an 2000, ou ces mêmes associations ont ouvert leurs travaux au plus grand nombre, afin que cela profite à tous. Ces dispositifs furent encouragés en France et à l’international, jusqu’au Président Américain qui signa le Clinton Y2K Act en 1998, qui permit de desserrer l’étau juridique en matière de responsabilité et permettre ainsi la libre circulation des informations et conseils afin de résoudre le problème. En France, cette opération a mobilisé plu de 50 000 informaticiens pendant 4 ans, pour un budget général de l’ordre de 8 milliards d’Euros. De nombreux acteurs associatifs ont pu agir librement, accéder aux informations et prodiguer à leur tour leur recommandations : L’Association des maires de France (AMF), sous la présidence de Jean-Paul Delevoye, a pu ainsi agir très activement auprès des maires pour les guider. L’AMF a-t-elle cette fois pu accéder aux recommandations et informations à temps et agir auprès des maires  ? La situation que nous connaissons aujourd’hui est contraire à l’intérêt général, il faut sans doute agir.

Plus grave et inquiétant, cet épisode a mis en évidence le conflit d’intérêt manifeste entre les agences d’état (NSA en tête) et les entreprises : la vulnérabilité en cause avait été identifiée par la NSA (en vue d’une exploitation prochaine ?), mais a « fuité » vers des pirates qui ont pu l’exploiter contre les entreprises. Il y a là une question grave, soulignée par les éditeurs (Microsoft) qui exigent de pouvoir fournir à leurs clients des outils fiables, donc maintenus sur la base d’informations de vulnérabilité qui doivent pouvoir leur remonter sans délai. L’excellence informatique a trouvé un ennemi inattendu, cette question doit sans doute être ouverte par les pouvoirs politiques avec un appui fort de la communauté économique et doit être négociée au plan international.

 

L’événement que nous venons de connaître est une sorte d’avertissement sans frais, la portée était limitée, même si de nombreux records ont été battus. Les sujets à ouvrir sont à la fois technique (que faire en cas d’attaque d’un nouveau type), politique, et de notre capacité à déployer très rapidement vers les entreprises, les collectivités, les particuliers, une réponse au-delà des cercles bien informés. Qui doit se charger de cette mission, dont la l’utilité paraît également pertinente lors d’autres types de crises majeures (grandes crues, événement climatique,…) ? Les pouvoirs publics français ont ouvert discrètement une piste en expérimentant en Janvier dernier une nouvelle façon de traiter collectivement les crises, fondée sur l’échange rapide et la collaboration, en se basant sur le meilleur des ressorts : l’esprit d’équipe. Cet exercice, dont l’initiative revient au Haut Commissaire de la République en Polynésie Française, a été conduit à Papeete les 19 et 20 janvier dernier sur 30h non-stop simulant 9 jours de crise, dont le thème était : une cyber attaque générale d’une partie du territoire national. Grâce à l’appui des services de l’état, de l’ANSSI, des associations locales, des chefs d’entreprise et experts réunis dans une même salle, cette expérimentation a démontré l’efficacité de la circulation rapide de l’information permettant de limiter les effets d’une cyber-attaque. Un Retex-Club a été créé localement dont l’objectif est de traiter rapidement tout type de crise, en déployant très rapidement les solutions, en transgressant les frontières public/privé, grandes entreprises et PME…Les conclusions de cet exercice ont été remontées vers Paris, nous disposons donc des bons outils pour nous préparer.

Notes :

Au sujet de l’exercice cyber attaque mené par les pouvoirs publics français :

Vidéo ITV par Polynésie première 2J avant l’exercice : https://www.youtube.com/watch?v=OfcOQOQrIbQ

Reportage Polynésie 1ere pendant et après l’exercice, ITV du Haut Commissaire de la République :https://youtu.be/swZlNeHMs8U

Communiqué des pouvoirs publics (photos réutilisables pour la presse et communiqué officiel en Pdf) : http://www.polynesie-francaise.pref.gouv.fr/ESPACE-PRESSE/Communiques-de-presse/20-janvier-2017-Exercice-CyberFenua-ou-comment-preparer-les-administrations-et-les-entreprises-de-Polynesie-francaise-a-repondre-a-des-attaques-cybercriminelles

Création du Retex Club, premier club du genre permettant dans l’objectif de déployer rapidement les solutions : http://www.tahiti-infos.com/Le-Retex-Club%C2%A0-s-unir-pour-mieux-repondre-aux-urgences_a160373.html