Ces derniers mois n’ont pas été de tout repos pour les équipes chargées de maintenir la sécurité des serveurs informatiques de l’État français : le ministère de l’Intérieur a été ciblé mi-décembre, laissant fuiter des fichiers aussi sensibles que les Traitements des antécédents judiciaires (TAJ) ou le Fichier des personnes recherchées (FPR). Ensuite, a été révélée une attaque contre le ministère de l’Éducation Nationale, permettant la fuite de nombreux comptes d’élèves avec leurs coordonnées. Et pour finir, la grande catastrophe : l’Agence Nationale des Titres Sécurisés (sic), qui a vu fuiter les données de 11 millions d’administrés. Oups.
Le Premier ministre, Sébastien Lecornu, a donc décidé de prendre le taureau par les cornes, et a profité de sa visite à l’ANTS encore convalescente pour faire quelques annonces dans le domaine, comme rapporté par Acteurs Publics.
La première, c’est la fusion entre la Direction interministérielle de la transformation publique (DITP) et la Direction interministérielle du numérique (DINUM). Sébastien Lecornu souhaite ainsi centraliser l’administration en charge de la protection des serveurs sensibles de l’État, afin que tout ne soit pas éparpillé. Cette nouvelle entité sera placée sous le contrôle de David Amiel, l’actuel ministre des Comptes publics. Sa première grande tâche sera de moderniser et renforcer la sécurité des infrastructures numériques de l’État, que le Premier ministre qualifie lui-même de « délaissées ».
Ironiquement, cette fusion est un retour en arrière, les deux directions ayant été créées à partir de la Direction générale de la modernisation de l’État (DGME) en 2012.
Seconde annonce, celle d’un budget : alors que 200 millions d’euros seront débloqués venant du programme France 2030, permettant de renforcer les infrastructures informatiques et les préparer au futur avec notamment des recherches sur la cryptographie post quantique et l’intelligence artificielle, c’est aussi un financement à long terme qui est prévu, avec la redirection de toutes les amendes perçues par la CNIL (Commission nationale informatique et libertés) vers l’effort de sécurisation des serveurs étatiques.
Ces annonces sont bien belles, et montrent que l’État prend en compte la gravité de la situation. Mais est-ce bien le bon angle malgré tout ? La fusion de deux services importants en un seul, pour tout centraliser, est une bonne idée. Celle de lui donner un budget d’action et de recherche grâce aux amendes de la CNIL, c’est aussi une idée intéressante, montrant que celui-ci a été pensé avec les limitations actuelles des finances publiques.
Cependant, un schéma ressort d’au moins deux des trois dernières attaques : pour le ministère de l’intérieur, c’est l’échange d’identifiants en clair dans les messageries des opérateurs de l’État, couplé à une fuite d’identifiants et mots de passe de certaines messageries qui a permis d’entrer sur le réseau sécurisé, et de voler une quantité considérable de fichiers sensibles. Pour l’éducation nationale, c’est le vol des identifiants d’un compte d’accès à un service annexe qui a permis ensuite de remonter jusqu’au serveur contenant les données des élèves grâce à des failles de sécurité non encore patchées. Pour l’ANTS, même si les détails sont encore succincts, il semble que l’attaque se soit basée sur une faille dans une API, permettant en permutant quelques chiffres dans une adresse d’accès d’accéder à des données provenant d’un autre fichier.
France Fuite : près de 12 millions de comptes seraient touchés par la cyberattaque de l’ANTS
Dans au moins deux cas sur les trois, et en règle générale la proportion reste relativement identique dans toutes les attaques, le souci ne se trouve pas dans l’infrastructure elle-même, « relativement » bien protégée (à l’exception de la faille de l’ANTS, embarrassante pour un service de titres « sécurisés »), mais plutôt sur les étourderies et autres baisses de vigilance des employés de l’administration. Si rien n’est fait pour rappeler les bases, éduquer tous les maillons de la chaîne à la plus grande hygiène numérique possible, ce type d’attaque se reverra encore et encore, parce qu’on n’aura pas pensé à boucher la faille la plus utilisée au monde : celle située entre la chaise et le clavier.
Espérons donc que dans ces 200 millions d’euros de budget, à côté de la recherche en crypto post-quantique, une petite part soit allouée à mettre tout le monde à niveau, afin d’éviter qu’un accès à un serveur sécurisé finisse dans la nature par un simple phishing un peu crédible…
