Comment un réseau organisé a réussi à espionner l’informatique de Bercy

1
70

D’abord un mail piégé, puis 150 machines infectées par un virus taillé sur mesure. Une enquête est en cours pour découvrir qui se cache derrière cette sombre affaire d’espionnage.

C’est par hasard qu’un employé du ministère des Finances s’est aperçu que des courriels étaient envoyés à son insu depuis son compte de messagerie. Cela à des heures très tardives et en dehors de ses temps de présence. L’Agence nationale de sécurité des systèmes d’information (Anssi) est alors immédiatement alertée et saisie. Nous sommes en janvier 2011 et les experts vont découvrir la présence d’un cheval de Troie chargé de récupérer des informations concernant le G20 et autres affaires politiques mais surtout financières.

Pour les spécialistes, il faut immédiatement stopper l’hémorragie et suivre une piste qui s’avère difficile, voire impossible, à remonter. « Durant ces deux derniers mois, nous avons cherché à savoir comment les attaquants opéraient », explique Patrick Pailloux, directeur de l’Anssi. Après avoir réalisé une empreinte du cheval de Troie, les enquêteurs vont relever sa présence sur 150 machines et découvrir qu’il y a également eu des tentatives d’intrusion, mais vaines, dans d’autres ministères.

Une attaque simple et un virus sur mesure

Pour pénétrer le système, les malfaiteurs ont utilisé une méthode d’ingénierie sociale très classique : un mail piégé contenant un cheval de Troie. Plus intéressant, ou inquiétant, ce Troyen est parvenu à passer la barrière de l’antivirus puis celle du pare-feu pour sortir les informations. « Le cheval de Troie était fait sur mesure. Il visait directement le ministère des Finances et a été conçu pour cet usage spécifique. N’ayant aucune signature, il était donc indétectable par l’antivirus », explique Patrick Pailloux.

 

Pour le pare-feu, c’est encore plus simple : toutes les informations (fichiers .pdf, tableur, courriel et autre document bureautique) ont été envoyées par mail via le compte de messagerie des 150 collaborateurs infectés par le virus. Indétectable, imparable, voilà qui n’est pas rassurant du tout. D’autant que si l’on apprend qu’aucune information concernant les contribuables n’est concernée, on comprend très vite que c’est parce que ça n’était pas la cible des malfaiteurs.

Deux jours pour tout nettoyer

Vendredi dernier, une fuite met la presse au courant. Pour l’Anssi, il faut désormais tout nettoyer. Pendant deux jours, les experts de l’agence vont débrancher Bercy d’internet, passer chaque machine au peigne fin et y ajouter les verrous nécessaires pour éviter une récidive. Reste que, contre toute attente, Bercy n’était pas doté d’un équipement de sécurité recommandé par l’Anssi. La sonde ayant permis de retrouver le cheval de Troie est désormais en place et effective dans tout le département. En attendant, l’affaire suit son cours.

 

Source : 01Net

1 COMMENTAIRE

Les commentaires sont fermés.