SENAT – Rapport sur la cyberattaque contre « ARIANE »

LES MODALITÉS DE SAISINE DE L’AUTORITÉ JUDICIAIRE

1. Le communiqué du 13 décembre indiquait que le ministère avait déposé une plainte auprès du Procureur

Le dépôt d’une plainte est tout à fait souhaitable. Même si l’attaque ne se traduit pas par un dommage matériel important pour le ministère, reste l’atteinte à sa réputation. Il faut d’ailleurs féliciter le ministère de l’Europe et de affaires étrangères pour cette décision judicieuse qui reste exceptionnelle au sein des administrations pourtant victimes régulières de cyberattaques, alors même que le discours de la puissance publique et notamment de l’ANSSI consiste à inciter les administrations, les entreprises et même les particuliers à signaler les incidents et à porter plainte. En outre, il s’agit d’infractions, de délits, voire de crimes dont la commission doit être portée à la connaissance de la justice, obligation sanctionnée pénalement pour les fonctionnaires en application de l’article 40 du code de procédure pénale.

Vos rapporteurs ont souhaité dans le strict respect de l’indépendance et des compétences de l’autorité judiciaire comprendre comment fonctionnait ce que la Revue stratégique de cybersécurité de février 2018 appelle la chaîne d’« investigation judiciaire 27(*)» et comment était mise en oeuvre cette chaîne en cas d’attaque des administrations de l’Etat.

Vos rapporteurs ont entendu les magistrats du parquet de Paris et notamment de sa section spécialisée (F1), créée en 2014 et dotée d’une compétence concurrente nationale depuis 2016 en matière d’atteintes aux systèmes informatisés de données. Cette section reçoit 2 000 à 2 500 plaintes par an. Elle est en mesure de déclencher des procédures d’entraide internationale et jouit d’une solide réputation puisqu’elle coordonne à l’échelon européen l’enquête sur la cyberattaque Notpetya. Vos rapporteurs se sont également entretenus avec la DGSI28(*), qui peut être saisie pour constater les faits et rechercher des preuves et les auteurs.

Il va de soi que vos rapporteurs, ne se sont en aucune façon substitués à l’autorité judiciaire dont ils respectent la pleine indépendance, garantie par la Constitution. Ils se sont limités, au cas d’espèce, aux modalités de saisines de l’autorité judicaire. En aucun cas, ils n’ont évoqué le fond de ce dossier.

2. De ces entretiens, il ressort une absence de procédure formalisée au sein des administrations

La DGSI n’a été saisie ni par le ministère de l’Europe et des affaires étrangères, ni par l’ANSSI auprès de laquelle le ministère de l’Intérieur dispose pourtant d’un officier de liaison29(*). Même si la DSI, en collaboration avec l’ANSSI a pris les dispositions nécessaires pour conserver les traces de l’attaque pour des investigations ultérieures, une saisine de la DGSI eût été préférable, dès la constatation de l’attaque.

Le Parquet, quant à lui, a été informé le 14 décembre en lisant la presse suite à la publication du communiqué du 13, lequel mentionnait pourtant la saisine du Procureur.

En réalité, la plainte dont le ministère a communiqué le texte à vos rapporteurs, sous forme d’une déclaration du Ministre au Procureur de Paris, signé par le sous-directeur des affaires juridiques internes du ministère de l’Europe et des affaires étrangères, ne parviendra au palais de Justice de Paris que le 4 janvier où elle est enregistrée par le service du courrier avant d’être transmise au destinataire.

Il aura donc fallu trois semaines pour que cette saisine soit effective. On aurait pu imaginer des circuits d’information plus rapides.

La plainte officielle n’aboutira au cabinet du Procureur de Paris que le 7 janvier et à la section chargée de la délinquance et de la criminalité cyber que le 15 janvier montrant une viscosité interne à l’administration du Parquet. La DGSI ne sera officiellement saisie que le 10 janvier et ne recevra la plainte officielle en provenance du Parquet que le 15, soit 6 semaines après le déroulement de l’attaque.

Au demeurant, on peut aussi s’interroger sur le manque d’initiative des services de police et du Parquet qui auraient pu, dès la publicité donnée à l’attaque, se saisir sans attendre le dépôt d’une plainte.

Cette absence de réactivité montre à l’évidence que personne ne savait quelle conduite tenir et n’était préparé à faire face à ce type d’attaque. Les procédures d’activation de la chaîne judiciaire, pourtant parfaitement identifiées par la Revue stratégique de cyberdéfense de février 2018, n’étaient pas effectivement mises en place au sein du ministère de l’Europe et des affaires étrangères. Existait-il un doute chez les responsables de ce ministère sur l’utilité des poursuites, motivant cette absence de célérité ?

Or, il est clair, comme il a pu l’être constaté dans d’autres domaines, que le taux d’élucidation des crimes et délits progresse en fonction du nombre de plaintes déposées et de la rapidité des dépôts. Des catalogues des modes d’attaques peuvent être dressés qui permettent d’identifier des signatures et de remonter des filières, l’utilisation de l’intelligence artificielle permettra à l’avenir en scannant les modes d’attaque et en les comparant d’accélérer ces processus d’identification.

Même si les données relatives à l’attaque ont pu être conservées sans être altérées, on imagine que l’intervention dans les premières heures des services compétents peut avoir un intérêt pour recueillir des preuves, ou des traces qu’un attaquant peut effacer progressivement ou, en tous cas, pour vérifier si les données font l’objet d’un commerce illicite, ce qui n’entre évidemment pas dans les compétences de la DSI du ministère. Ceci a été confirmé à vos rapporteurs par les magistrats du Parquet

Il n’est pas non plus évident, faute d’informations réciproques et de procédures préalables, que les preuves conservées répondent aux besoins de la procédure judicaire. En toute bonne foi, les agents de la DSI ont pu conserver des éléments qui ne correspondraient pas strictement aux besoins particuliers d’une enquête judiciaire.

Sans doute, la mise en place du RGPD permettra-t-elle d’avancer grâce à l’obligation de déclaration et de publicité, mais manifestement, un travail d’information sur la mise en oeuvre de la chaîne judicaire et de coordination semble nécessaire auprès des décideurs des administrations de l’Etat.

Il serait souhaitable par ailleurs que les ministères de l’Intérieur et de la Justice, en lien avec l’INSEE, se dotent d’un outil statistique permettant d’apprécier le suivi du traitement judicaire des attaques informatiques dirigées contre les systèmes et réseaux gouvernementaux, ceux des opérateurs d’importance vitale, des établissements disposant de zones à régimes restrictifs, ou portant atteinte aux intérêts fondamentaux de la Nation, en recensant le nombre d’infractions, délits ou crimes constatés, le nombre de plaintes déposées et en calculant les taux d’élucidation, de classement sans suite et de réponse pénale comme cela existe dans d’autres domaines. Vos rapporteurs comprennent que la nouveauté de ce domaine et l’hétérogénéité des incidents ont pu retarder la mise en oeuvre d’un tel outil mais il devient désormais urgent d’opérer ce travail si l’on veut crédibiliser les actions de la police et de la justice en ce domaine.

http://www.senat.fr/rap/r18-299/r18-2995.html

http://www.senat.fr/rap/r18-299/r18-299.html

Cliquer pour accéder à 20180206-np-revue-cyber-public-v3.3-publication.pdf