Lundi de la Cybersécurité Mai 2021 : Terrorisme 2.0

CMS header image

Par Gérard Peliks, Directeur adjoint du MBA Management de la Cybersécurité de l'ILV

Celles et ceux qui utilisent intensivement l’Internet, que ce soit pour des raisons professionnelles ou personnelles, connaissent, ou au moins ont entendu parler des dangers que le cyberespace fait peser sur les biens ou sur les identités numériques des personnes. Mais un danger bien plus grand rôde : le terrorisme numérique qui peut détruire, corrompre ou subtiliser une Information parfois vitale pour un pays et sa population.

La motivation n’est pas ici l’appât d’un gain facile ou le désir de nuire à autrui. L’agression récente qu’a connue SolarWinds a de quoi nous alerter. Le terrorisme 2.0 frappe déjà et les attaques se multiplient. Les contre-mesures pour diminuer les risques du terrorisme numérique ne sont pas faciles à mettre en œuvre, d’autant plus que l’attribution d’une attaque est techniquement très délicate et parfois impossible. Et se tromper d’assaillants peut entraîner des conséquences incalculables. Prenons deux exemples, le premier dans le monde virtuel, mais aux conséquences bien réelles, le deuxième hors du monde virtuel et aux conséquences désastreuses.

TV5 Monde dans la tourmente

Analysons la cyberattaque subie par la chaîne de télévision TV5 Monde en 2015. TV5 Monde, chaîne française d’information, diffuse à l’international dans plus de 200 pays et touche 300 millions de foyers dans le monde. Une attaque en APT (Advanced Persistent Threat) a commencé, cette année-là, classiquement par une exploration des réseaux ciblés de la chaîne, et une prise de connaissance approfondie des habitudes de ceux qui les utilisent en interne. Une tentative de Phishing suit et touche des journalistes ciblés de cette chaîne. Ces journalistes reçoivent un courriel avec une pièce attachée sur laquelle, sans se méfier, ils cliquent. Le fichier attaché était piégé… La porte d’entrée des cyberprédateurs a bien fonctionné, le virus entre dans le réseau de TV5 Monde et se met en veille. A une date programmée, il se diffuse latéralement dans le réseau : attaque en APT tout à fait classique. Le virus atteint la bureautique mais aussi parvient jusqu’aux infrastructures techniques de diffusion du signal de télévision, qui étaient imprudemment connectées à la bureautique. Lourde erreur de sécurité commise sur l’architecture informatique !

Lundi de la cybersécurité terrorisme TV5 Monde

TV5 Monde perd la possibilité de diffuser sa chaîne d’information ; écran noir dans tous les pays qui essaient d’accéder à cette chaîne de télévision. De plus, son serveur web externe ainsi que ses réseaux sociaux diffusent une information très compromettante : « CyberCaliphate, je suis IS (Islamic State) » avec des images et des vidéos que vous pouvez imaginer et même les identités de soldats français en opération au Sahel. L’attaque est donc signée et revendiquée, l’agresseur est ainsi clairement identifié. La France va pouvoir riposter à cette agression qui a détruit un moyen de diffusion de la Culture française autour du monde, outil diplomatique indispensable pour la voix de la France à l’étranger.

Mais, par extraordinaire, les prédateurs du Front Islamique ne revendiquent pas cette attaque. Forcément ils n’étaient pas au courant car ce n’était pas eux mais les Russes ! Ou au moins c’était une mafia russe, le groupe APT28 à la solde du Kremlin, qui a utilisé des outils très sophistiqués après une investigation poussée de la connaissance de l’infrastructure de TV5 Monde, et des habitudes de ses employés. C’est ainsi qu’une attaque en APT commence. Nous sommes tous menacés en permanence par ce type d’agression.

Quelques temps après, dans le cadre d’un Mastère Spécialisé « Analyse Stratégique et Intelligence Economique », nous avons été invités, les apprenants du Mastère, sa directrice et moi, à visiter le siège de TV5 Monde à Paris, où nous avons eu une présentation des aspects « sécurité du numérique », par le nouveau directeur de la sécurité des systèmes d’Information de la chaîne. Oui, cette chaîne d’informations francophone avait subi une attaque qui l’avait fortement déstabilisée et qui aurait pu causer sa perte, mais la chaîne a fait d’immenses progrès, suite à cet attentat. Les systèmes d’information sont maintenant correctement compartimentés et protégés, le matériel a été renouvelé, les collaborateurs sont sensibilisés aux dangers du cyberespace et la chaîne de télévision a contracté une cyber assurance.

A la lumière de cet exemple, nous comprenons que l’attribution d’une cyberattaque n’est pas évidente. Ce n’était donc pas le Front Islamique qui a attaqué TV5 Monde, alors que tout le désignait. Le terrorisme 2.0 a des difficultés d’attribution des attaques quand elles atteignent ce niveau de sophistication.

Lundi de la cybersécurité terrorisme Nice

Nice, l’été meurtrier

Les djihadistes allaient refaire parler d’eux, et cette fois-ci pas dans le monde virtuel. Par une chaude nuit d’été, le 14 juillet 2016, à Nice, le dernier bouquet du feu d’artifice vient de s’éteindre, les lumières de la colline du château se rallument, la promenade des Anglais, devenue piétonne, avec des kiosques à musique, depuis le boulevard Gambetta jusqu’à l’hôtel Ruhl, merveilleuse artère en bord de mer, est remplie de promeneurs qui viennent d’assister au feu d’artifice et continuent paisiblement leur balade. Le drame mûrement préparé se noue. Le terrorisme va durement frapper. Un gros poids lourd blanc conduit par un terroriste monte sur le trottoir pour contourner les obstacles qui protègent l’accès à la zone devenue piétonne. Il accélère et fonce à vive allure dans la foule, en zigzaguant pour écraser un maximum de promeneurs. Le terrible bilan sera de 87 morts et 434 blessés, hommes, femmes, enfants avant que le terroriste soit « neutralisé » par la police.

Pour que ce carnage ne puisse se reproduire, pour empêcher un nouveau massacre contre la population traumatisée, la municipalité fait construire, quelques mois après, sur cette artère qui faisait la fierté de la ville, et qui après l’attentat semblait être, et pour longtemps, le lieu de tous les dangers, des plots en béton reliés par des câbles d’acier capables d’empêcher tout véhicule de monter sur le trottoir.

En octobre 2020, toujours à Nice, un autre drame terroriste s’est noué, dans un attentat djihadiste au couteau, dans la basilique Notre Dame de l’Assomption, en centre-ville sur l’avenue Jean-Médecin, faisant trois morts. Je prends comme exemple Nice, parce que j’y suis né et j’y ai passé mon enfance. Pour moi ce terrorisme n’est pas seulement dans des coupures de journaux mais bien dans le monde réel. Et dans le virtuel, le Terrorisme 2.0 est tout aussi redoutable.

Devons-nous pour autant vivre dans des bunkers ? Non, car malgré les traumatismes, la vie continue, mais le danger aussi.

Dans le cyberespace, nous n’avons pas de vrais amis. Nous n’avons que des partenaires d’un moment et beaucoup d’ennemis qui sont autant potentiels que redoutables. Nos infrastructures et opérateurs d’importance vitale, nos prestataires de services essentiels sont ciblés. Notre économie, nos capacités de défense et, actuellement depuis la pandémie, le secteur de la santé sont menacés et attaqués. C’est ça le Terrorisme 2.0.

Le Terrorisme des temps modernes méritait d’être traité dans un Lundi de la cybersécurité, et un tel sujet méritait d’être analysé par un expert reconnu dans le domaine, avec du vécu et une capacité pédagogique certaine.

Les « Lundi de la cybersécurité »

Organisés par Béatrice Laurent et Gérard Peliks, directeur adjoint du MBA Management de la Cybersécurité de l’Institut Léonard de Vinciavec la logistique en présentiel ou en distanciel de l’université de Paris, les « Lundi de la cybersécurité » se tiennent un lundi par mois, de 18h à 20h. Entre 150 et 200 participants assistent et peuvent aussi, à la suite de la présentation, poser des questions aux intervenants. S’ensuivent des débats très intéressants entre experts du sujet traité.