Les menaces de piratage informatique
- Session : 2014-2015
- Année : 2015
- N° : 206 (2014-2015) 1
2 élément(s) trouvé(s).
Question écrite du 20/04/2015
- de PUGET André-Pierre
- à MARCOURT Jean-Claude, Ministre de l'Economie, de l'Industrie, de l'Innovation et du Numérique
Le site economie.wallonie.be, destiné à promouvoir les politiques économiques de la Région, a été mis en sommeil par un groupe tunisien répondant au nom de « Fellaga Team » et se revendiquant de l’État islamique. En lieu et place du contenu traditionnel, un message émanant d’une Américaine enjoignait les citoyens de mener le combat contre les dirigeants, comme en témoignent ces propos adressés en guise de conclusion : « Sortez la tête du sable, luttez contre vos leaders, joignez la résistance ».
Du côté du ministère, on semble ne pas s’émouvoir outre mesure du piratage d’un des sites régionaux puisqu’il ne contient aucune donnée confidentielle. Il y a, néanmoins, de quoi s’inquiéter et se poser des questions sur la sécurité informatique des administrations wallonnes. Ce piratage est intervenu quelques jours après celui de TV5-Monde par l’État islamique. Les terroristes, pour la première fois, avaient réussi à s’en prendre, de façon durable, à un média d’information. Quelques jours plus tard, ce fut au tour des sites du Soir, de Sudpresse et de La Libre Belgique d’être victimes d’une attaque informatique, de la part d’un jeune amateur de jeux, attaque moins inquiétante, mais qui révèle la vulnérabilité de l’internet.
La guerre menée par les terroristes est désormais totale et utilise les moyens les plus divers pour arriver aux fins souhaitées. À ce titre, l’internet est devenu un des talons d’Achille de l’Occident à la pointe de la technique. En filigrane, se pose la question de savoir si des terroristes pourraient, à l’avenir, mettre en sommeil les activités de la région en piratant son système informatique ou semer la terreur en prenant le contrôle des antennes pour y véhiculer un message haineux.
Ma question sera dès lors assez simple : les outils informatiques des administrations et des médias sont-ils aujourd’hui suffisamment sécurisés et armés pour lutter contre les attaques dont ils pourraient être victimes à l’avenir ?
Réponse du 01/06/2015
- de MARCOURT Jean-Claude
Concernant l’attaque sur le serveur hébergeant quelques sites du portail wallonie.be, elle remonte à l’après-midi du vendredi 10 avril.
Les sites web et les applications back office du Service public de Wallonie sont exploités sur plus de mille serveurs (physiques et virtuels) dont le DTIC assure l’hébergement et la gestion. Vu le nombre de serveurs, la détection d’un comportement anormal des équipements ou d’une activité anormale des applications est assurée par des systèmes de surveillance automatique qui fonctionnent sur base de paramètres techniques (un nombre de connexions, l’heure à laquelle se font celles-ci, etcétéra) définissant une activité supposée « normale ».
Le défacement ou détournement de pages de sites web n’est pas en soi détectable sur base de tels critères. Compte tenu de l’heure de l’attaque (14H05) et du fait que les services techniques du SPW ne gèrent pas le contenu de ces sites, l’édition du contenu étant assurée par chaque service concerné disposant des droits d’édition (en l’espèce, un service de la DGO6), une activité sur le site à cette heure de la journée n’était pas détectable de manière automatique en tant qu’événement anormal.
Il est évident que le jour et l’heure de l’attaque n’ont donc pas été choisis par hasard.
Les actions visant à éviter toute expansion de l’attaque, dont la nature n’était pas encore diagnostiquée, ont été mises en œuvre à 19H35 par les services de garde du DTIC dès l’apparition des premiers symptômes rapportés par les visiteurs du site via les réseaux sociaux, puis par voie de presse (à 19H30).
Le lien vers la vidéo incriminée n’est resté en ligne que quelques heures. Durant celles-ci, la majorité des appels enregistrés vers le site est imputable à l’effet d’annonce du piratage. Le serveur a été isolé du réseau et coupé ; les liens vers les traces de défacement ont été désactivés ; la vidéo incriminée, qui ne se trouvait d’ailleurs pas sur le site du SPW, mais bien sur YouTube (ce qui indique un niveau « faible » de pénétration de la sécurité de l’infrastructure informatique du SPW), a été supprimée et une page de maintenance mise en place sur le portail.
La faille exploitée est liée à la technologie utilisée pour la gestion du contenu du site web, à savoir Drupal. Cet éditeur annonçait une faille de sécurité d’un niveau critique « modéré », de type « buffer overflow », le 13 mars 2015 et le déploiement d’un patch correctif fut proposé par ses services techniques pour y pallier dès le 18 mars.
Malheureusement, le déploiement de ce correctif n’a pu être réalisé sur le site incriminé, car cela nécessitait une mise à niveau du site par la DGO6. Pour éviter des risques de ruptures de service pour les clients de ces sites web, le déploiement de ce correctif avait donc été postposé afin de laisser le temps aux gestionnaires de contenu de réaliser les tests et les adaptations nécessaires.
Le défacement a pu être réalisé par une exploitation de cette faiblesse documentée par drupal sur internet. Un pirate peut donc aisément programmer une recherche de sites web tournant sur des outils dont la version présente cette faiblesse.
Il convient de signaler que le système d’information du SPW comprend, par la diversité des activités du service public, mais aussi pour des raisons historiques, de nombreuses technologies, parfois dans des versions différentes, faisant l’objet de « faiblesses techniques » identifiées et donc de très nombreux correctifs. Le nombre de personnes pour évaluer les risques, organiser puis déployer les correctifs et réaliser des adaptations subséquentes des sites est par contre limité et des choix doivent donc être posés pour concilier ressources disponibles, accessibilité des sites et gestion de leur sécurité.
Le site economie.wallonie.be est un portail fédérant l’accès à divers sites web dont seule une partie utilise la technologie Drupal.
Les pages statiques (formulaires de demandes de licences d’armes, site du département du développement économique, …) ne recourant pas à la technologie incriminée ont été remises en ligne dès le lundi 13 avril et leur accès fut rendu possible au moyen d’une URL sur la page de maintenance du portail.
Le serveur piraté a été reconfiguré et mis à disposition des gestionnaires de contenu le mardi 14 en après-midi avant d’être remis en service le matin du vendredi 17 avril, au terme des tests nécessaires pour la dernière version des correctifs et des validations réalisées par les éditeurs de contenu.
Les services gestionnaires du contenu ne disposent en effet pas d’équipes de garde pour intervenir la nuit ou le samedi et dimanche.
Par précaution, certains services gérant le contenu de sites (non piratés) ont également décidé, de limiter l’accès à certaines fonctionnalités (par exemple : le site des pôles de compétitivité).
Compte tenu des moyens à disposition, le traitement de cet incident de sécurité a été réalisé rapidement et de manière proportionnée.
Les back up du site permettront de reconfigurer un serveur sans perte de contenu. Ce site ne contenait que des données publiques (non subordonnées à identification/authentification) sans donner personnelles ni confidentielles.
Une plainte a été déposée avec communication du détail technique nécessaire auprès de l’antenne régionale de Namur de la Computer Crime Unit. En tant que Ministre des Médias, les autres entités ont été interpellées ainsi que le Premier-Ministre afin de leur proposer d’unir les réflexions et forces pour éviter autant que faire se peut la réapparition de telles situations.
Les attaques récentes démontrent combien la cybersécurité est importante et doit être traitée de manière constante et rigoureuse. C’est pourquoi, complémentairement aux actions déjà en cours, des mesures spécifiques seront également proposées dans le cadre du plan numérique.