SENAT – Rapport sur la cyberattaque contre « ARIANE »

LES MODALITÉS DE SAISINE DE L’AUTORITÉ JUDICIAIRE

1. Le communiqué du 13 décembre indiquait que le ministère avait déposé une plainte auprès du Procureur

Le dépôt d’une plainte est tout à fait souhaitable. Même si l’attaque ne se traduit pas par un dommage matériel important pour le ministère, reste l’atteinte à sa réputation. Il faut d’ailleurs féliciter le ministère de l’Europe et de affaires étrangères pour cette décision judicieuse qui reste exceptionnelle au sein des administrations pourtant victimes régulières de cyberattaques, alors même que le discours de la puissance publique et notamment de l’ANSSI consiste à inciter les administrations, les entreprises et même les particuliers à signaler les incidents et à porter plainte. En outre, il s’agit d’infractions, de délits, voire de crimes dont la commission doit être portée à la connaissance de la justice, obligation sanctionnée pénalement pour les fonctionnaires en application de l’article 40 du code de procédure pénale.

Vos rapporteurs ont souhaité dans le strict respect de l’indépendance et des compétences de l’autorité judiciaire comprendre comment fonctionnait ce que la Revue stratégique de cybersécurité de février 2018 appelle la chaîne d’« investigation judiciaire 27(*)» et comment était mise en oeuvre cette chaîne en cas d’attaque des administrations de l’Etat.

Vos rapporteurs ont entendu les magistrats du parquet de Paris et notamment de sa section spécialisée (F1), créée en 2014 et dotée d’une compétence concurrente nationale depuis 2016 en matière d’atteintes aux systèmes informatisés de données. Cette section reçoit 2 000 à 2 500 plaintes par an. Elle est en mesure de déclencher des procédures d’entraide internationale et jouit d’une solide réputation puisqu’elle coordonne à l’échelon européen l’enquête sur la cyberattaque Notpetya. Vos rapporteurs se sont également entretenus avec la DGSI28(*), qui peut être saisie pour constater les faits et rechercher des preuves et les auteurs.

Il va de soi que vos rapporteurs, ne se sont en aucune façon substitués à l’autorité judiciaire dont ils respectent la pleine indépendance, garantie par la Constitution. Ils se sont limités, au cas d’espèce, aux modalités de saisines de l’autorité judicaire. En aucun cas, ils n’ont évoqué le fond de ce dossier.

2. De ces entretiens, il ressort une absence de procédure formalisée au sein des administrations

La DGSI n’a été saisie ni par le ministère de l’Europe et des affaires étrangères, ni par l’ANSSI auprès de laquelle le ministère de l’Intérieur dispose pourtant d’un officier de liaison29(*). Même si la DSI, en collaboration avec l’ANSSI a pris les dispositions nécessaires pour conserver les traces de l’attaque pour des investigations ultérieures, une saisine de la DGSI eût été préférable, dès la constatation de l’attaque.

Le Parquet, quant à lui, a été informé le 14 décembre en lisant la presse suite à la publication du communiqué du 13, lequel mentionnait pourtant la saisine du Procureur.

En réalité, la plainte dont le ministère a communiqué le texte à vos rapporteurs, sous forme d’une déclaration du Ministre au Procureur de Paris, signé par le sous-directeur des affaires juridiques internes du ministère de l’Europe et des affaires étrangères, ne parviendra au palais de Justice de Paris que le 4 janvier où elle est enregistrée par le service du courrier avant d’être transmise au destinataire.

Il aura donc fallu trois semaines pour que cette saisine soit effective. On aurait pu imaginer des circuits d’information plus rapides.

La plainte officielle n’aboutira au cabinet du Procureur de Paris que le 7 janvier et à la section chargée de la délinquance et de la criminalité cyber que le 15 janvier montrant une viscosité interne à l’administration du Parquet. La DGSI ne sera officiellement saisie que le 10 janvier et ne recevra la plainte officielle en provenance du Parquet que le 15, soit 6 semaines après le déroulement de l’attaque.

Au demeurant, on peut aussi s’interroger sur le manque d’initiative des services de police et du Parquet qui auraient pu, dès la publicité donnée à l’attaque, se saisir sans attendre le dépôt d’une plainte.

Cette absence de réactivité montre à l’évidence que personne ne savait quelle conduite tenir et n’était préparé à faire face à ce type d’attaque. Les procédures d’activation de la chaîne judiciaire, pourtant parfaitement identifiées par la Revue stratégique de cyberdéfense de février 2018, n’étaient pas effectivement mises en place au sein du ministère de l’Europe et des affaires étrangères. Existait-il un doute chez les responsables de ce ministère sur l’utilité des poursuites, motivant cette absence de célérité ?

Or, il est clair, comme il a pu l’être constaté dans d’autres domaines, que le taux d’élucidation des crimes et délits progresse en fonction du nombre de plaintes déposées et de la rapidité des dépôts. Des catalogues des modes d’attaques peuvent être dressés qui permettent d’identifier des signatures et de remonter des filières, l’utilisation de l’intelligence artificielle permettra à l’avenir en scannant les modes d’attaque et en les comparant d’accélérer ces processus d’identification.

Même si les données relatives à l’attaque ont pu être conservées sans être altérées, on imagine que l’intervention dans les premières heures des services compétents peut avoir un intérêt pour recueillir des preuves, ou des traces qu’un attaquant peut effacer progressivement ou, en tous cas, pour vérifier si les données font l’objet d’un commerce illicite, ce qui n’entre évidemment pas dans les compétences de la DSI du ministère. Ceci a été confirmé à vos rapporteurs par les magistrats du Parquet

Il n’est pas non plus évident, faute d’informations réciproques et de procédures préalables, que les preuves conservées répondent aux besoins de la procédure judicaire. En toute bonne foi, les agents de la DSI ont pu conserver des éléments qui ne correspondraient pas strictement aux besoins particuliers d’une enquête judiciaire.

Sans doute, la mise en place du RGPD permettra-t-elle d’avancer grâce à l’obligation de déclaration et de publicité, mais manifestement, un travail d’information sur la mise en oeuvre de la chaîne judicaire et de coordination semble nécessaire auprès des décideurs des administrations de l’Etat.

Il serait souhaitable par ailleurs que les ministères de l’Intérieur et de la Justice, en lien avec l’INSEE, se dotent d’un outil statistique permettant d’apprécier le suivi du traitement judicaire des attaques informatiques dirigées contre les systèmes et réseaux gouvernementaux, ceux des opérateurs d’importance vitale, des établissements disposant de zones à régimes restrictifs, ou portant atteinte aux intérêts fondamentaux de la Nation, en recensant le nombre d’infractions, délits ou crimes constatés, le nombre de plaintes déposées et en calculant les taux d’élucidation, de classement sans suite et de réponse pénale comme cela existe dans d’autres domaines. Vos rapporteurs comprennent que la nouveauté de ce domaine et l’hétérogénéité des incidents ont pu retarder la mise en oeuvre d’un tel outil mais il devient désormais urgent d’opérer ce travail si l’on veut crédibiliser les actions de la police et de la justice en ce domaine.

http://www.senat.fr/rap/r18-299/r18-2995.html

http://www.senat.fr/rap/r18-299/r18-299.html

http://www.sgdsn.gouv.fr/uploads/2018/02/20180206-np-revue-cyber-public-v3.3-publication.pdf

SSI EXP – ANSSI CLIP OS

Projet CLIP OS

Le projet CLIP OS est un projet open source maintenu par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). L’objectif principal du projet est de construire un système d’exploitation durci, capable de gérer des informations de plusieurs niveaux de sensibilité. Pour l’atteindre, le projet se base sur le noyau Linux et un ensemble de logiciels open source.

Historique et publication

Initialement développé pour répondre aux besoins des administrations, les précédentes versions de CLIP OS n’étaient pas disponibles publiquement.

Depuis septembre 2018, les sources de la nouvelle version du projet sont publiques et le projet est ouvert aux contributions extérieures.

Fonctionnalités de sécurité et différences principales vis-à-vis des autres systèmes d’exploitation

Le projet se base sur plus de dix ans de développement interne à l’ANSSI pour créer un système d’exploitation durci.

Les propriétés de sécurité suivantes ne sont généralement pas réalisables à partir des systèmes d’exploitation disponibles publiquement :

  • Support du multi-niveau pour gérer des informations de plusieurs niveaux de sensibilité différents.
  • Accès administrateur restreint en production : un administrateur ne doit pas pouvoir compromettre un système déployé en production ni accéder aux données utilisateurs.
  • Construction du projet de façon totalement automatisée et réalisée intégralement à partir des sources.
  • Opportunités d’intégration forte dans des environnements variés.

La liste des fonctionnalités de sécurité disponibles est présentée dans la documentation de chaque version.

Quelles différences y-a-il avec Qubes OS ?

Les projets CLIP OS et Qubes OS se ressemblent d’un point de vue objectifs fonctionnels mais diffèrent sur plusieurs points :

Le mécanisme principal d’isolation est différent

CLIP OS utilise les primitives du noyau Linux pour créer des conteneurs, ainsi que des fonctionnalités supplémentaires apportées par VServer, des durcissements du noyau Linux (grsecurity pour la version 4) et un module de sécurité Linux (LSM) ad hoc. Cette approche permet d’avoir un contrôle fin des échanges de données (p. ex. notion de fichier, socket, processus) et des permissions (p. ex. code malveillant limité aux fonctionnalités du ring 3, limitation des appels noyau autorisés).

Qubes OS utilise la virtualisation matérielle via un hyperviseur (Xen), ainsi qu’une machine virtuelle (dom0) comprenant un système GNU/Linux et des services chargés d’échanger avec d’autres machines virtuelles.

Le rôle et le pouvoir d’un administrateur

L’administrateur d’un système CLIP OS n’est pas en mesure de compromettre l’intégrité du système ni d’accéder aux données des utilisateurs. Il a à sa disposition uniquement un ensemble restreint d’options de configuration.

Avec Qubes OS, l’utilisateur principal de chaque machine virtuelle est aussi un administrateur de la machine virtuelle. L’administrateur système du cœur (dom0) peut modifier la configuration et accéder à toutes les données utilisateur sans restrictions.

https://clip-os.org/fr/

SSI RH – L’art cyber pour donner corps au virus

Airgapped Samsung NC10-14GB 10.2-Inch Blue Netbook (2008), Windows XP SP3, 6 pieces of malware, power cord, restart script, malware

The Persistence of Chaos

Guo O Dong, 2019

Un artiste d’Internet

Un ordinateur infecté par six virus célèbres dépasse le million de dollars aux enchères

« Le but de Guo O Dong, avec ce projet, est d’étudier comment la menace du logiciel malveillant est perçue. «Ces logiciels paraissent si abstraits, presque faux avec leurs noms amusants et effrayants, mais je pense qu’ils soulignent le fait que le Web et l’IRL («In Real Life», dans la vraie vie) ne sont pas des espaces différents», a-t-il déclaré dans un courriel au site Motherboard.

[Il considère] ainsi que les virus sont «l’un des moyens les plus concrets d’Internet pour sortir des écrans des internautes et les piquer». »

http://www.lefigaro.fr/secteur/high-tech/un-ordinateur-infecte-par-six-virus-celebres-depasse-le-million-de-dollars-aux-encheres-20190522

« Intitulé The Persistence of Chaos, cette “oeuvre d’art” est une collaboration entre l’artiste Internet chinois Guo O Dong et Deep Instinct, une entreprise de cybersécurité basée à New York. L’idée est d’infecté un ordinateur avec les six plus populaires virus informatiques de notre époque ; j’ai nommé WannaCry, BlackEnergy, ILOVEYOU, MyDoom, SoBig et DarkTequila. Ces six virus ont apparemment causé pas moins de 95 milliards de dollars de dégâts dans le monde entier ! De ce que nous apprend la page de livestreaming sur thepersistenceofchaos.com  »

☠️ Pour plus d’un million de dollar, vous pouvez vous procurer un ordinateur infecté par les 6 pires virus jamais créés

SSI OS – 4 New Microsoft Zero-Day Exploits

Upon successful exploitation, an attacker can delete or edit any Windows file, including system executables, which otherwise only a privileged user can do.

Dubbed AngryPolarBearBug2 by the hacker, the vulnerability is a successor to a previous Windows Error Reporting service vulnerability she found late last year, which was named AngryPolarBearBug and allowed a local, unprivileged attacker to overwrite any chosen file on the system.

https://thehackernews.com/2019/05/microsoft-zero-day-vulnerability.html

https://mobile.twitter.com/TheHackersNews/status/1131567152522178560

SSI PDT – l’ANSSI sécurise les disques USB

Sécurité : L’Agence a présenté son disque dur « chiffrant » qui se présente comme une solution open source et open hardware, dans la continuité des efforts de l’Anssi en matière de logiciel libre.

Il n’y a pas que Microsoft qui aime l’open source, l’Anssi l’apprécie aussi. L’année passée, l’agence nationale de sécurité des systèmes d’information avait déjà présenté son Clip OS, un système d’exploitation sécurisé et open source. Elle poursuit sa lancée en détaillant à l’occasion de l’événement Ready for IT son projet Wookey : un disque dur « chiffrant » USB en open source et open hardware.

https://www.zdnet.fr/amp/actualites/wookey-l-anssi-veut-securiser-les-disques-usb-39884961.htm