Accueil Actualités juridiques du village Publications, travaux, mémoires...

Ingérences informatiques et réponses des services du Premier ministre.

Par Alexis Deprau, Docteur en droit.

1ere Publication

Outre le terrorisme et les tentatives de déstabilisation de l’État, d’autres menaces sécuritaires sont présentes et doivent être surveillées par les services administratifs, puis réprimées le cas échéant par l’autorité judiciaire. Parmi ces menaces, figurent notamment les ingérences informatiques, dont la lutte est l’une des attributions des services du Premier ministre.

La menace informatique est la prise en compte de la dimension nouvelle du cyberespace défini comme « l’intersection des réseaux de transport des données numériques » [1] par l’Agence nationale de sécurité des systèmes d’information (ANSSI) [2].

C’est au sein du cyberespace qu’est menée la cyberguerre, à savoir « la dimension technique de la guerre de l’information ; le recours aux capacités cybernétiques pour mener des opérations agressives dans le cyberespace, contre des cibles militaires, contre un État ou sa société ; une guerre classique dont au moins une de ses composantes, dans la réalisation, ses motivations et ses outils (armes au sens large du terme) s’appuie sur le champ informatique ou numérique » [3].

Les menaces informatiques sont depuis le Livre blanc sur la défense et la sécurité nationale de 2008 un enjeu prioritaire [4]. C’est pourquoi « relèvent [...] de la sécurité nationale les tentatives de pénétration de réseaux informatiques à des fins d’espionnage, qu’elles visent les systèmes d’information de l’État ou ceux des entreprises. Une attaque visant la destruction ou la prise de contrôle à distance des systèmes informatisés commandant le fonctionnement d’infrastructures d’importance vitale, de systèmes de gestion automatisés d’outils industriels potentiellement dangereux, voire de systèmes d’armes ou de capacités militaires stratégiques pourrait ainsi avoir de graves conséquences » [5]. Ainsi, pour faire face aux menaces informatiques appelées cyberattaques (A), les institutions françaises répondent notamment par la mise en place d’une cyberdéfense avec les services du Premier ministre (II), qui complètent l’action spécialisée de l’Agence nationale de sécurité des systèmes d’information.

I) Typologie des cyberattaques.

Pour mener à bien cette cyberguerre, les États ou organisations utilisent l’arme de la cyberattaque qui a pour objet de « détruire, altérer, accéder à des données sensibles dans le but de les modifier ou de nuire au bon fonctionnement des réseaux » [6].

Ces attaques cybernétiques ont coûté en termes de dommages 338 milliards de dollars dans le monde, pour la seule année 2011, selon l’Observatoire national de la délinquance et des réponses pénales (ONDRP) [7]. Trois principales formes de cyberattaque ressortent : « - la guerre contre l’information, qui s’attaque à l’intégrité des systèmes informatiques pour en perturber ou en interrompre le fonctionnement ;- la guerre pour l’information, qui vise à pénétrer les réseaux en vue de récupérer les informations qui y circulent ou y sont stockées ;- la guerre par l’information, qui utilise le vecteur informatique dans un but de propagande, de désinformation ou d’action politique » [8].

A. Les attaques informatiques de déstabilisation des infrastructures.

Les tentatives de déstabilisation des infrastructures à l’aide d’attaques informatiques s’observent à travers la méthode du déni de service [9]. Par exemple, l’Estonie a été victime d’une vague de cyberattaques le 27 avril 2007 touchant les systèmes informatiques « gouvernementaux et publics, ceux des opérateurs de téléphonie mobile, des banques commerciales et des organes d’information » [10].

Les 19 et 20 juillet 2008, puis le 12 août 2008, la Géorgie subit, quant à elle, de nombreuses agressions informatiques, avec pour cibles les médias ainsi que les services de l’État. Si, « aux États-Unis, en France, au Royaume-Uni, les attaques sont des intrusions qui visent à dérober de l’information (renseignement). En Géorgie et en Russie, il s’agissait d’opérations menées dans un contexte de guerre » [11].

Autre exemple, le virus ou ver informatique STUXNET aurait agi, en juillet 2009, pour infecter jusqu’à 100.000 ordinateurs « pour moitié en Iran mais aussi à l’extérieur (Inde, Indonésie, Chine, Azerbaïdjan, Corée du Sud, États-Unis, Royaume-Uni…) » [12]. Il aurait principalement visé les centrales nucléaires iraniennes de Natanz et Bouchehr. En représailles, « l’Iran a stupéfait l’Occident en réussissant à neutraliser un satellite espion de la CIA grâce à une technologie de brouillage de pointe au laser qui aurait rendu le satellite complètement aveugle » [13], dans la mesure où les soupçons d’une attaque menée par les Américains sont très élevés. Plus précisément, « STUXNET aurait été conçu puis utilisé par l’agence américaine de sécurité nationale (NSA), avec la collaboration de l’armée israélienne (dont l’unité 8 200 de Tsahal), dans le cadre d’une opération baptisée « Olympic Games » (« Jeux Olympiques ») » [14].

Les pirates informatiques les plus connus en matière de déstabilisation et d’attaque d’infrastructures sont les membres du groupe Anonymous s’étant fait connaître en attaquant au début de l’année 2008 les sites Internet de l’Église de scientologie. En 2013, à la suite de l’opération militaire d’Israël dans la bande Gaza, les Anonymous ont répliqué en déstabilisant les infrastructures informatiques d’Israël, « plus de 100.000 sites israéliens sont inaccessibles, 200.000 numéros de carte bleue ont été publiés, mais aussi des dizaines de milliers de pages Facebook et Twitter ont été piratées » [15].

Pour ce qui concerne la France, le 31 janvier 2012, alors que le Parlement français débattait du projet de loi sur la contestation de l’existence des génocides dont le génocide arménien (qui a d’ailleurs été jugée contraire à la Constitution) [16] et, alors que le Sénat avait déjà subi des attaques informatiques le 25 décembre 2011, « de nombreux sites institutionnels, à l’image du site Internet de l’Assemblée nationale ou les sites de plusieurs députés, ont été rendus inaccessibles à la suite d’attaques informatiques » [17]. Puis, c’est le ministère des Armées qui a subi une cyberattaque le 6 janvier 2015.

La France a ainsi subi en 2013 « plus de 780 incidents significatifs, contre 420 en 2012 » [18]. Les entreprises françaises sont aussi touchées, à l’image de l’entreprise Total, qui a subi quatre attaques par déni de service avec des clés USB utilisées par des salariés de l’entreprise, et cela pour le seul premier semestre 2008 [19]. La chaîne TV5 Monde aurait subi, le 8 avril 2015, une attaque informatique sans précédent revendiquée par des cyberdjihadistes [20].

B. La guerre par l’information.

La guerre par l’information fut définie par le colonel de l’US Air Force Al Campen, qui « limite le champ de la guerre de l’information à l’information (données) sous sa forme numérique et aux logiciels et matériels qui la créent, modifient, stockent, traitent, font circuler. De ce point de vue, cela signifie que les opérations psychologiques qui consistent à lâcher des tracts au-dessus des populations ne sont pas des opérations de guerre de l’information. Mais la diffusion radio, la manipulation électronique d’images télé, est guerre de l’information. La destruction physique d’appareils de télécommunication n’est pas guerre de l’information, mais perturber ou paralyser une communication au moyen d’un virus, si. » [21].

La guerre par l’information fut observée avec la première guerre du Golfe de 1990-1991 qui « restera marquée par trois évolutions des techniques de communication et d’information : la primauté de l’image télévisée, le direct et par voie de conséquence l’ère des réseaux mondiaux susceptibles de véhiculer ces images » [22].

L’un des premiers mouvements à avoir utilisé la guerre par l’information est l’Armée zapatiste de libération nationale (EZLN), un mouvement révolutionnaire issu de la région mexicaine du Chiapas. De même, Daech mène aussi aujourd’hui une guerre de l’information à travers son journal Dabiq publié sur Internet, avec la manipulation des réseaux sociaux qui « témoigne d’un degré certain de command-and-control et d’une capacité à saisir des opportunités de visibilité en instrumentalisant les centres d’intérêt occidentaux » [23].
Autre exemple, lors de l’été 2008, un scandale éclata en Chine à propos de l’entreprise chinoise Sanlu, qui fabrique de la poudre de lait en y ajoutant de la mélamine, « composant toxique dans ses produits afin de pouvoir commercialiser plus cher un lait présenté comme enrichi en vitamines » [24]. Sur les deux moteurs de recherche, le chinois Baidu et l’américain Google et, si au nom de l’entreprise chinoise Sanlu est associé « enfants » ou « calculs rénaux », « le premier trouve cent, voire mille fois moins d’informations que le second. Un tel différentiel s’explique aisément : Baidu propose à ses clients moyennant le versement de trois millions de yuans (soit 303.000 euros) de « gérer et contrôler l’information à son sujet ».

C. Le cyberespionnage.

Il existerait un virus plus puissant que le virus STUXNET consacré, quant à lui, au domaine de l’espionnage industriel : le virus FLAME qui « serait un type très complexe de logiciel malveillant visant à infiltrer un ordinateur à l’insu de son utilisateur pour en prendre le contrôle, collecter des informations ou effacer des fichiers » [25]. Ce virus participerait donc à une action criminelle de cyberespionnage défini comme le fait de « voler sur le web des informations ou données secrètes ou sensibles provenant du monde des affaires ou des administrations, mais aussi les centres de recherches universitaires » [26].

Concernant le cyberespionnage des sites institutionnels français, le site du ministère de l’Économie et des Finances a subi deux intrusions informatiques, les soirs des 30 et 31 décembre 2010, avec des logiciels espions permis par des « chevaux de Troie », c’est-à-dire des « programmes malveillants [qui] ouvrent une ‘porte dérobée’ sur l’ordinateur infecté permettant aux attaquants de se connecter à distance sur les postes infectés pour y intercepter des frappes claviers et des communications réseaux et surtout procéder à des exfiltrations de documents sensibles vers des serveurs distants » [27]. Cette intrusion sur le site du ministère de l’Économie et des Finances a été qualifiée par l’Agence nationale de sécurité des systèmes d’information de « première attaque contre l’État français de cette ampleur à cette échelle ».

Pour l’année 2013, l’espionnage industriel à l’encontre des entreprises françaises par le biais de l’espionnage informatique est à l’origine d’un manque à gagner de 46 milliards [28]. A titre d’illustration, l’entreprise AREVA, spécialisée dans le nucléaire a appris début septembre 2011, qu’elle subissait des intrusions informatiques à des fins d’espionnage depuis deux ans [29]. Avec le concours de l’Agence nationale de sécurité des systèmes d’information (ANSSI), l’entreprise AREVA a mis à jour ses systèmes d’information et assaini son réseau informatique ce qui a coûté à l’entreprise française « plusieurs millions d’euros, sans prendre en compte le préjudice économique éventuel résultant du vol des informations » [30].
Le cyberespionnage industriel à l’encontre de la France est surtout exercé par les Américains par le biais de la National Security Agency (NSA). Entre 2004 et 2012, ce cyberespionnage a touché « deux anciens ministres de l’Économie, François Baroin et Pierre Moscovici un Sous-directeur du Trésor, un diplomate de haut rang, un parlementaire socialiste ainsi que des centaines d’entreprises françaises » [31].

II/ L’action de cyberdéfense des services du Premier ministre.

La compétence de principe en matière de cyberdéfense ou de protection des systèmes d’information revient au Premier ministre fixant « les règles de sécurité nécessaires à la protection des systèmes d’information des opérateurs mentionnées aux articles L. 1332-1 et L. 1332-2 et des opérateurs publiques ou privés qui participent à ces systèmes pour lesquels l’atteinte à la sécurité ou au fonctionnement risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation » [32]. Pour mener à bien cette mission et veiller à ce que les règles fixées soient respectées au regard de l’article L. 2321-1 du code de la défense, « dans le cadre de la stratégie de sécurité nationale et de la politique de défense, le Premier ministre définit la politique et coordonne l’action gouvernementale en matière de sécurité et de défense des systèmes d’information. Il dispose à cette fin de l’autorité nationale de sécurité des systèmes d’information qui assure la fonction d’autorité nationale de défense des systèmes d’information ». Outre l’ANSSI, il existe d’autres services du Premier ministre dédiés totalement ou pour partie à ce sujet, à savoir le Secrétariat général de la défense et de la sécurité nationale, et la Direction interministérielle des systèmes d’information et de communication.

A. Le Secrétariat général de la défense et de la sécurité nationale.

La compétence en matière de menaces informatiques et de sécurité des systèmes d’information est donnée au secrétaire général de la défense nationale par le décret du 29 janvier 1996 relatif aux compétences du Secrétaire général de la Défense nationale dans le domaine de la sécurité des systèmes d’informations [33].

C’est le Secrétariat qui a averti, en 2005, les membres des cabinets ministériels ainsi que les hauts responsables des grandes entreprises françaises de ne pas se servir des téléphones utilisant la messagerie Blackberry de l’entreprise canadienne « au motif que les flux de données transitant par ses serveurs pouvaient faire l’objet d’une surveillance étroite de la part des autorités étatsuniennes » [34]. Pourtant, une annonce fut publiée, le 5 juin 2008, par le ministère de l’Économie et des Finances au Bulletin officiel d’annonces de marchés publics en vue d’acquérir et de procéder à la maintenance du Blackberry [35]. Finalement, à la suite de l’arrêt de l’utilisation par le Président des Etats-Unis Barack Obama du Blackberry pour des questions de sécurité nationale fin 2008, « le palais de l’Élysée indiqu(a) que l’usage professionnel du Blackerry (était) clairement interdit aux collaborateurs du président français » [36].

B. La Direction interministérielle des systèmes d’information et de communication.

Toujours sous l’autorité du Premier ministre, mais organiquement rattachée au Secrétariat général du Gouvernement, la Direction interministérielle des systèmes d’information et de communication (DISIC) a été créée par le décret du 21 février 2011 et « oriente, anime et coordonne les actions des administrations de l’État visant à améliorer la qualité, l’efficacité, l’efficience et la fiabilité du service rendu par les systèmes d’information et de communication » [37]. Si le rôle de cette Direction est généraliste en matière de systèmes d’information, elle aura, cependant, un rôle dans la protection des systèmes d’information en car elle « veille à la cohérence interministérielle des architectures fonctionnelles, techniques et de sécurité des systèmes d’information et de communication ».

De même, cette Direction s’occupe « en liaison avec l’Agence nationale de la sécurité des systèmes d’information, du référentiel général de sécurité » concernant les systèmes d’information et de communication.

Enfin, depuis le 1er août 2014 et, toujours sous l’autorité du Premier ministre, le Directeur interministériel du numérique et du système d’information et de communication de l’État préside le Conseil du système d’information et de communication de l’État comprenant : « 1° Les Secrétaires généraux des ministères ou leur adjoint ainsi que le Directeur des services administratifs et financiers du Premier ministre ; 2° Le Directeur général des systèmes d’information et de communication du ministère de l’Intérieur ; 3° Le Directeur général de l’Administration et de la Fonction publique ; 4° Le Directeur général de l’Agence nationale de la sécurité des systèmes d’information ; 5° Le Directeur du Budget ; 6° Le Directeurs des achats de l’État » [38].

Ainsi, hors cadre de cyberdéfense dont la réponse est apportée par les services du ministère des Armées, l’action de cyberdéfense est aussi assurée par le Premier ministre et ses services, en complément de l’important travail toujours assuré par l’Agence nationale de sécurité des systèmes d’information.

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article : L’avez-vous apprécié ?

12 votes

Notes :

[2« L’agence nationale de sécurité des systèmes d’information est l’autorité nationale en matière de sécurité des systèmes d’information », in D. n°2009-834 du 7 juillet 2009 portant création d’un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d’information », JORF, n°156, 8 juillet 2009, texte n°3, art. 3.

[3VENTRE (D.), Cyberattaque et cyberdéfense, Lavoisier, Paris, 2011, p. 16.

[4Défense et Sécurité nationale : le Livre blanc, La Documentation française, 2008, p. 192.

[5Livre blanc sur la défense et la sécurité nationale 2013, La Documentation française, Paris, 2013, p. 45.

[6LASBORDES (P.), La sécurité des systèmes d’information : un enjeu majeur pour la France, La Documentation française, Paris, janvier 2006, p. 9.

[7Ronan DOARE, « Les réponses juridiques françaises face aux cybermenaces », pp. 166-179, in DANET (D.) et CATTARUZZA (A.), Cyberdéfense : quel territoire, quel droit ?, Economica, Paris, 2014, p. 166.

[8ROMANI (R.), Rapport d’information sur la cyberdéfense, Commission des Affaires étrangères, de la Défense et des Forces armées, Sénat, n°449, 8 juillet 2008, p. 12.

[9Ce sont des attaques qui « visent à saturer un ordinateur ou un système en réseau sur internet en dirigeant vers lui un volume considérable de requêtes », in ROMANI (R.), op. cit., 8 juillet 2008, p. 12.

[10BOCKEL (J.-M.), Rapport d’information sur La cyberdéfense : un enjeu mondial, une priorité nationale, Commission des Affaires étrangères, de la Défense et des forces armées, n°681, Sénat, 18 juillet 2012, p. 12.

[11VENTRE (D.), Cyberattaque et cyberdéfense, Lavoisier, Paris, 2011, p. 183.

[12« [Cette version du virus] a été spécifiquement conçue pour attaquer le système SCADA de Siemens Simatic WinCC qui équipait les centrales », in BONNEMAISON (A.) et DOSSE (S.), Attention : Cyber ! Vers le combat cyber-électronique, Economica, Paris, 2014, p. 57-58.

[13AMIR-ASLANI (A.), « Suxnet vs Shamoon : la cyberguerre au Moyen-Orient », pp. 107-112, in RAUFER (X.) (dir.), La première cyber-guerre mondiale ?, MA éd., Paris, 2015, p. 111.

[14BOCKEL (J.-M.), op. cit., 18 juillet 2012, p. 15.

[16Cons. const., 28 février 2012, Loi visant à réprimer la contestation de l’existence des génocides reconnus par la loi, déc. n°2012-647 DC.

[17BOCKEL (J.-M.), op. cit., 18 juillet 2012, p. 18.

[18BOCKEL (J.-M.), op. cit., 18 juillet 2012, p. 18.

[19ARPAGIAN (N.), op. cit., Paris, 2009, p. 72

[21VENTRE (D.), La guerre de l’information, Lavoisier, Paris, 2007, p. 19.

[22BLIN (A.) et CHALIAND (G.) (dir.), Dictionnaire de stratégie militaire, Perrin, Paris, avril 1998.

[23HARBULOT (C.) (dir.), La France peut-elle vaincre Daech sur le terrain de la guerre de l’information ?, École de guerre économique, Paris, mai 2015, p. 95.

[24ARPAGIAN (N.), op. cit., Paris, 2009, p. 93.

[25BOCKEL (J.-M.), op. cit., 18 juillet 2012, p. 16.

[26RAUFER (X.), Cyber-criminologie, CNRS éd., Paris, 2015, p. 134.

[27BOCKEL (J.-M.), op. cit., 18 juillet 2012, p. 20.

[30BOCKEL (J.-M.), op. cit., 18 juillet 2012, p. 16.

[32C. déf., art. L. 1332-6-1.

[33D. n°96-67 du 29 janvier 1996 relatif aux compétences du Secrétaire général de la défense nationale dans le domaine de la sécurité des systèmes d’information, JORF, n°25, 30 janvier 1996, p. 1 443.

[34ARPAGIAN (N.), op. cit., Paris, 2009, p. 127-128.

[35Annonce n°141 du 5 juin 2008, Bulletin officiel d’annonces de marchés publics, 108 B, dépt. 79.

[36ARPAGIAN (N.), op. cit., Paris, 2009, p. 128.

[37D. n°2011-193 du 21 février 2011 portant création d’une Direction interministérielle des systèmes d’information et de communication de l’État, JORF, n°44, 22 février 2011, texte n°1, art. 2.

[38D. n°2014-879 du 1er août 2014 relatif au système d’information et de communication de l’Etat, JORF, n°180, 6 août 2014, texte n°6, art. 2.