Mercredi 13 mars, France Travail annonçait que toutes les données des inscrits à Pôle Emploi de ces vingt dernières années avaient été « potentiellement » visées par une cyberattaque. Deux jours plus tôt, le gouvernement annonçait que plusieurs centaines de sites gouvernementaux et ministériels étaient touchés par une attaque d’une « intensité inédite ». Début février, c’était au tour de deux mutuelles (Viamedis et Almerys) d’être visées, compromettant les données de plus de 33 millions d’assurés.
C’est dans ce contexte de recrudescence des attaques informatiques que Martin Untersinger, journaliste au service Pixels du Monde, publie chez Grasset « Espionner, mentir, détruire. Comment le cyberespace est devenu un champ de bataille ». Entretien.
Il semble que nous soyons dans une période où les cyberattaques se multiplient. Dans ce contexte, peut-on craindre des menaces sur le déroulement des Jeux Olympiques ?
C’est vrai que ces derniers jours, les révélations concernant de potentielles fuites de données sont nombreuses. Mais cela fait une dizaine, voire une quinzaine d’années que ce type d’attaques ont lieu. Beaucoup restent inconnues, soit parce qu’elles ne sont pas découvertes, soit parce qu’elles sont gardées secrètes. La recrudescence à laquelle on assiste aujourd’hui n’est peut-être que la partie visible de l’iceberg.
Le contexte des Jeux Olympiques peut aussi expliquer la hausse du nombre de cyberattaques. Tous les événements importants sont une opportunité, pour tous types de pirates. De nombreuses personnes cherchent à acheter un billet pour les épreuves, d’autres s’inquiètent de l’impact des Jeux sur leur quotidien… Ce sont autant de prétextes que les pirates peuvent prendre pour envoyer des messages piégés, dans un but d’usurpation d’identité ou de données bancaires.
Mais ces attaques peuvent aussi être le fait de pirates de plus haut niveau, liés à des États, qui voudraient perturber le bon déroulement des événements et par là même prouver leur puissance. Lors des Jeux Olympiques d’hiver de Pyeongchang (Corée du Sud), en 2018, une vaste attaque informatique avait touché le pays lors de la cérémonie d’ouverture, sans la perturber, mais ce n’était pas passé loin. L’opération a ensuite été attribuée à la Russie, dont les athlètes avaient été interdits de participer aux Jeux sous leur drapeau. Nous sommes aujourd’hui dans une situation analogue, avec une participation des athlètes russes autorisée, mais sous bannière neutre.
Quels sont les intérêts de mener de telles attaques ? À quoi ces données volées servent-elles ?
Plusieurs motifs peuvent expliquer les attaques informatiques. D’un côté, on trouve la cybercriminalité « classique », simplement crapuleuse, qui a vocation à capter les informations d’un individu pour faciliter des opérations de piratage, faire de l’extorsion, détourner de l’argent… La Russie est un havre de paix pour ces cybercriminels, mais leurs attaques ne relèvent pas de préoccupations géopolitiques particulières.
Et puis, il y a les pirates informatiques employés par les États, qui agissent pour deux motifs. La majeure partie des attaques informatiques relèvent de l’espionnage, pour capter un maximum d’informations en restant le plus longtemps possible dans une cible sans être détecté. Tous les États se livrent à ces pratiques, à des degrés divers, y compris la France. C’est une traduction dans l’espace numérique de ce que font tous les services de renseignement à travers le monde. Enfin, il existe aussi des opérations plus agressives, qui ont pour but de perturber, de saboter, un système informatique. On peut aussi ranger dans cette catégorie tout ce qui a trait à la manipulation des réseaux sociaux.
L’attaque qui a ciblé 800 sites administratifs et ministériels début mars a été revendiquée par des hackers pro-russes. La Russie est-elle le pays qui mène aujourd’hui le plus d’attaques informatiques ?
Cela dépend du type d’attaques dont on parle. Pour ce qui est des opérations de sabotage, de perturbation d’un événement, il n’y a pas beaucoup de pays qui ont les moyens, les compétences et le mobile pour le faire, si ce n’est la Russie. Depuis l’invasion de l’Ukraine en 2022, ils multiplient ce type d’attaques. Après, si on parle d’attaques dont l’objectif est de fournir des renseignements, la Chine a aussi fait de l’espionnage numérique un instrument majeur.
Concernant l’attaque informatique sur les sites gouvernementaux, le groupuscule qui l’a revendiquée semble téléguidé par les services de renseignement russes. Avait-il pour consigne, de la part des autorités, de s’en prendre à la France ? C’est possible, mais ce n’est pas forcément le scénario le plus probable. Est-ce une initiative directe du groupuscule, ensuite instrumentalisée par le Kremlin ? C’est possible aussi. Dans tous les cas, les activités de ces groupes de hackers sont un déguisement commode pour les États.
Entre France Travail et les sites gouvernementaux, les attaques informatiques de ces dernières semaines semblent toucher particulièrement les services de l’État. Les organismes qui gèrent des données, potentiellement sensibles, sont-ils assez formés pour faire face aux risques ?
La sécurité numérique d’une organisation passe évidemment par la vigilance de chacun de ses membres. Dans le cas de la cyberattaque qui a touché France Travail, l’établissement a communiqué en disant que l’incident avait débuté par le vol des identifiant et mot de passe d’un conseiller. Mais la sûreté des données ne peut pas reposer sur la seule capacité des agents à protéger leurs mots de passe.
En l’état actuel des connaissances sur cette cyberattaque, je trouve tout de même cela surprenant que des pirates aient pu avoir accès à autant de données simplement via le compte d’un employé. Mais on peut aussi s’interroger sur le manque de vigilance de France Travail, qui avait manifestement conservé les données de demandeurs d’emploi inscrits jusque vingt ans en arrière. C’est une obligation légale de supprimer les données qui n’ont plus d’utilité, et le piratage aurait eu un moindre retentissement s’il avait concerné des données plus récentes.
Concernant la sécurité numérique, la France possède un arsenal juridique important. Déjà, au niveau européen, le droit sur les données personnelles oblige à la mise en place de mécanismes adéquats pour protéger les données. Pour les sujets d’ordre régaliens et plus sensibles – les télécoms, les fournisseurs d’électricité, les fournisseurs d’eau… – les administrations et les entreprises sont soumises à des mesures de sécurité strictes. La France est assez pionnière sur ces questions, même s’il faudrait voir si ces obligations sont respectées dans les faits. Mais une chose est sûre, face à ces défenses qui se renforcent, il y a des attaquants toujours plus nombreux et toujours plus compétents.
