Sécurité

La violence de la cyberattaque contre RUAG détaillée

Plus de 20 Go de données ont été dérobés par les pirates. Les dégâts à l’administration fédérale se limiteraient au vol de l’annuaire des messageries électroniques

Un premier diagnostic officiel a été posé lundi sur l’attaque informatique qui a frappé RUAG, entreprise à 100% en mains fédérales. Le Conseil fédéral indique qu’un peu plus de 20 Giga octets (Go) de données ont été volés jusqu’à ce que la présence du logiciel espion soit détectée. Est-ce beaucoup? «C’est pas mal. Cela peut se traduire par des centaines de milliers de pages papier, explique Stéphane Koch, expert en sécurité informatique. Mais cela dépend aussi s’il y a des vidéos ou autres captures de conversations parmi les données volées. Et finalement, la gravité d’une attaque informatique n’est pas question du volume dérobé mais de la qualité de l’information obtenue.»

Lire aussi: Les questions que pose l’affaire de cyberespionnage contre RUAG

Active dans la défense, mais aussi dans l’aéronautique, l’entreprise RUAG ne dévoile aucun détail sur la nature des données volées. Le motif de l’enquête pénale ouverte par le Ministère public de la Confédération ne surprend toutefois pas: il vise le vol d’un secret de fabrication ou d’affaire.

Mais RUAG partage aussi des interfaces informatiques avec la Confédération. Et depuis la révélation de la cyberattaque, début mai, les spéculations sont allées bon train sur le vol possible de données fédérales, notamment les données sensibles et personnelles du commando professionnel DRA 10 de l’armée suisse. Le Conseil fédéral assure qu’il n’en est rien. «Nous pensons à ce stade de l’enquête que le vol de données a pu toucher l’annuaire des messageries de l’administration fédérale. En revanche, il n’y a pas de données privées dans le lot, c’est désormais certain», indique Renato Kalbermatten, porte-parole du Département fédéral de la défense.

Virus issu d’une famille russe

Pour éviter que d’autres entreprises ou organisations ne soient victimes du même Cheval de Troie qui a contaminé RUAG, la Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI) a publié lundi un rapport technique sur le fameux virus. On y apprend notamment que le maliciel en question, ultra-discret et professionnel, vient de la famille Turla. Or selon différents articles de presse, un produit russe qui viserait des cibles gouvernementales et militaires en Occident se cacherait sous l’appellation Turla.

L’attribution d’une attaque est extrêmement compliquée. Les pirates peuvent aussi créer à dessein de fausses pistes

Il s’agit toutefois de rester prudent, assure Stéphane Koch: «Quand on voit le niveau de gravité de ces attaques, on se demande si leurs auteurs laisseraient vraiment des traces pour les identifier. L’attribution d’une attaque est extrêmement compliquée. Les pirates peuvent aussi créer à dessein de fausses pistes».

Le rapport technique précise également que malgré la difficulté de repérer le virus qui a contaminé RUAG, il est possible de prendre des contre-mesures peu coûteuses et mobilisant relativement peu de temps contre ce type de menaces. La Centrale fédérale appelle les organisations qui auraient été victimes de telles attaques à les signaler, pour suivre la piste de leurs auteurs.

Récompenser les hackers éthiques

Ce dernier point est d’une importance capitale pour Stéphane Koch. L’expert plaide pour inverser l’approche fédérale en termes de protection contre les cyberattaques. «Une démarche proactive est nécessaire. La défense ne suffit plus pour se protéger de ce type d’attaques qui vont se multiplier à l’avenir et menacent un patrimoine économique et des emplois». Il explique que ce genre d’attaques se base sur des failles dans des logiciels, découvertes souvent par des hackers qui les signalent ou les vendent ensuite aux plus offrants. «Une faille peut se monnayer 100’000 francs. De nombreux gouvernements ont désormais des budgets pour les acheter, donc ils peuvent aussi les utiliser.»

Le Genevois plaide pour récompenser, en Suisse aussi, les hackers qui informeraient la Confédération sur ces failles. Il juge nécessaire de créer un système d’intelligence partagé en Suisse, réunissant les experts du domaine et d’obliger légalement les entreprises à faire remonter à l’autorité fédérale les attaques qu’elles subissent.

Révolutionner la stratégie de défense contre les cyberattaques? Le Parlement pourrait en débattre lors de la session d’été qui s’ouvre lundi prochain. Le groupe PDC demande la tenue d’un débat d’actualité. «A quoi bon?», s’interroge le conseiller national Pierre-Alain Fridez (PS/JU): «Le vrai débat serait de mettre des moyens pour protéger le pays contre le terrorisme et les cyberattaques plutôt que d’investir dans la défense contre les menaces traditionnelles. Mais on n’en prend malheureusement pas le chemin.»


Chronologie de l’attaque

Septembre 2014: Des inversions de contrôle ont lieu dans le système informatique de RUAG, mais elles n’ont pas encore pu être détectées

Décembre 2015: De premiers indices de cyberespionnage sont fournis par les services de renseignement allemands

Janvier 2016: Détection de l’infection. L’entreprise RUAG et des services fédéraux ouvrent un «incident majeur»

Mai 2016: La presse dévoile la cyberattaque. Le Conseil fédéral livre des informations sur le dossier qu’il avait classifié secret

Publicité