Archives par mot-clé : Cyberattaque

Devenue en cinq ans la plus grande bourse mondiale de cryptomonnaies, Binance mise sur la France

Publié le par

Binance, numéro un mondial des plateformes d’échange de cryptomonnaies, s’est fait pirater début octobre. Le Sino-Canadien Changpeng Zhao, son PDG cofondateur devenu milliardaire, aurait sans doute rêvé meilleur événement pour les cinq ans de sa licorne. Qu’à cela ne tienne, il accélère et compte sur Paris.

Quand la plus grande plateforme mondiale d’échange de cryptomonnaies se fait pirater, en plus du krach des bitcoin, ether, ripple et autres dogecoin de cet été, cela n’augure rien de bon dans l’esprit du public pour l’avenir des monnaies numériques. Surtout qu’elles sont censées être sécurisées et certifiées par leur blockchain, ces réseaux décentralisés, cryptés et capables d’authentifier la détention et les échanges d’actifs numériques. Ainsi, Binance – le numéro un mondial de cette finance décentralisée (DeFi (1)) – s’est fait « hacker » dans la nuit du 6 au 7 octobre 2022. Le pirate a pu s’emparer de l’équivalent de 100 millions voire 110 millions de dollars sur le demimilliard de dollars que celui-ci comptait détourner en BNB (2), la cryptomonnaie de Binance. Celle-ci fonctionne sur la blockchain Binance Smart Chain (BSC) depuis septembre 2020, après avoir été lancée comme token sur Ethereum il y a cinq ans, au moment du démarrage de la plateforme d’échange de cryptomonnaies. Plus de peur que de mal pour cette licorne sans frontières – la start-up Binance n’est pas (encore) cotée mais elle est valorisée 300 milliards de dollars (3) – qui a réalisé l’an dernier plus de 20 milliards de dollars de chiffre d’affaires (4).

Piratage de Binance : deux « exploits » inquiétants
La cyberattaque a été rapidement circonscrite par la « suspension temporaire » de la blockchain BSC et la faille identifiée sur « un pont à chaînes multiples » (5). La majorité des fonds ont été « gelés », mais l’hackeur s’est évaporé dans le cyberespace avec au moins 100 millions de dollars dérobés. « Le problème est maintenant maîtrisé. Nous nous excusons pour les désagréments et nous vous fournirons en conséquence d’autres mises à jour », a twitté le PDG de Binance, Changpeng Zhao (photo), le 7 octobre au petit matin (6). Cette déconvenue pour Binance laissera des traces, au-delà de la forte chute du cours du BNB qui fut au pire moment de – 7,5 % par rapport au niveau le plus haut du 6 octobre (7). Surtout que ce n’est pas la première fois que Binance se fait pirater : un précédent « exploit » (8) s’est produit en mai 2019, avec un vol de 7.000 bitcoins d’un montant à l’époque de 40 millions de dollars (9). De tels incidents font désordre pour la plus grande bourse de cryptomonnaies au monde en volume. Forte actuellement de ses 90 millions d’utilisateurs, la fintech des cryptos nourrit des ambitions planétaires sans précédent et son patron lance un véritable défi à tout la finance internationale.

Un total de 1 milliard d’investissements en 2022
Se surnommant « CZ », ce Sino-Canadien (né et ayant grandi en Chine avant d’avoir la nationalité canadienne) a cofondé Binance il y a cinq ans à Singapour avec Yi He (photo ci-contre) – aujourd’hui directrice marketing (CMO) et depuis début août en charge aussi de l’incubateur Binance Labs gérant 7,5 milliards de dollars d’actifs (10). Malgré les embûches, la crypto-exchange continue d’aller de l’avant pour conforter sa place de leader, loin devant son rival Coinbase (11), qui est, lui, coté à la Bourse de New-York, au Nasdaq. La licorne de CZ est devenue le fleuron du « capitalisme Web3 » et affiche déjà des pics d’activité impressionnants : jusqu’à 100 milliards de dollars échangés en 24 heures, soit jusqu’à 7.700 milliards dollars négociés sur une année ! De quoi donner le tournis, même aux plus aguerris du trading. Depuis 2018, CZ est milliardaire et aujourd’hui – à 45 ans depuis le 10 septembre – sa fortune atteint (au 14-10-22) 17,4 milliards de dollars (12).
Dans un entretien à l’agence Bloomberg (13), publié le 7 octobre, CZ affirme que Binance pourrait dépenser sur l’ensemble de l’année 2022 plus de 1milliard de dollars dans des acquisitions et des investissements. Le numéro un mondial de l’exchange de tokens veut faire des emplettes pour accroître ses activités dans la DeFi, les NFT, le métavers, les jeux vidéo ou encore le e-commerce. Or, depuis janvier, seulement 325 millions de dollars ont été dépensés dans quelque 67 projets. Si le milliard était atteint, cela représenterait sept fois les dépenses de l’année 2021. Et encore, cela ne prend pas en compte deux investissements très en vue : le plus important est le projet de participer à la prochaine acquisition de Twitter par Elon Musk, opération dans laquelle Binance prévoit d’injecter 500 milliards de dollars ; le second, déjà envisagé en février dernier mais reporté, consiste à investir 200 millions de dollars dans Forbes Media, l’éditeur américain du plus que centenaire magazine économique. Et ce, via une Spac (14) – sorte de « coquille vide » boursière permettant de lever des fonds en Bourse et baptisée Magnum Opus Acquisition.
La participation minoritaire dans Twitter pourrait se concrétiser dès que le patron de Tesla et de SpaceX aura jeté son dévolu sur la firme à l’oiseau bleu. Concernant Forbes Media et son projet d’introduction en Bourse accompagné par Binance, lequel apportait aussi son expertise dans les cryptomonnaie, la blockchain et le Web3 dans des contenus éditoriaux du célèbre titre (lu par 150 millions de personnes dans le monde), ce n’est que partie remise comme l’avait confirmé Forbes Media le 1er juin (15). Avec CoinMarketCap, le site web d’information de référence sur les cryptomonnaies et 543e site web le plus visité au monde avec 120 millions de visiteurs par mois (16), Binance a fait en avril 2020 sa première acquisition de taille. A qui le tour ? « Binance Labs gère actuellement des actifs pour un total de 7,5 milliards de dollars, ce qui en fait la plus grande société de capital de risque en cryptoactifs de l’industrie », déclare l’incubateur qui finance plus de 180 projets liés au Web décentralisé (blockchain) et à la crytographie. Autant de start-up dont certaines pourraient tomber dans son escarcelle. CZ se focalise notamment sur l’Europe et plus particulièrement sur la France où il a déclaré lors du Paris Blockchain Week Summit (PBWS) le 13 avril 2022 : « We love France » ! Il y a annoncé vouloir investir 100 millions d’euros en France justement, dans le cadre de son projet « Objectif Lune » (Moon Objective) lancé en novembre 2021, avec la bénédiction de Cédric O, alors secrétaire d’Etat chargé du Numérique, et le partenariat de l’incubateur de startup Station F créé par Xavier Niel (il y a cinq ans comme Binance). Et ce, au moment de la création de Binance France SAS domiciliée à Montrouge et présidée par David Prinçay. A l’instar de Binance US, l’entité distincte aux Etats-Unis (BAM Trading Services Inc., enregistrée dans le Delaware), la société française n’a pas de lien juridique avec Binance Asia Services (BAS) à Singapour. BAS a d’ailleurs dû fermer sa plateforme en février dans ce pays pour pivoter en hub de blockchain.
CZ avait indiqué au printemps qu’il avait choisi la France – à la crypto-régulation plus accueillante – comme « rampe de lancement pour l’Europe » et en faire de l’Hexagone « le coeur de la communauté crypto européenne ». CZ s’est ainsi « engag[é]à construire et soutenir un écosystème fort autour de la blockchain, du Web3 et des métavers » (17). Le mois suivant, le 4 mai dernier, Binance obtenait en France son statut de prestataires de services sur actifs numériques (PSAN), véritable sésame délivré par l’Autorité des marchés financiers (AMF). De là à faire de Paris la domiciliation de son futur siège social (européen ou mondial) voire la place financière de sa cotation en Bourse envisagée, il n’y aurait qu’un pas.

Paris, tête de pont pour l’Europe voire le monde
La fintech du Web3 a franchi une étape supplémentaire durant la Binance Blockchain Week (BBW) qui s’est tenue à Paris mi-septembre dernier, où Changpeng Zhao a rencontré Jean-Noël Barrot, le nouveau ministre délégué chargé de la Transition numérique et des Télécommunications (18). « Nous avons aujourd’hui 150 personnes à Paris et nous prévoyons d’en embaucher environ 200 autres d’ici la fin de l’année », a indiqué le Sino-Canadien, plus francophile que jamais. Selon nos informations, un directeur général de Binance France pourrait être recruté d’ici la fin de l’année. Durant ce même BBW dans la capitale française, Binance s’est constitué un conseil mondial d’experts (Global Advisory Board), présidé par Max Baucus, ancien sénateur américain et ambassadeur en Chine. Le haut fonctionnaire français Bruno Bézard, ancien directeur du Trésor à Bercy, en est un des membres. Après le crypto-krach du marché des cryptos, surnommé « l’hiver crypto », Binance – adoubé par la France – veut montrer pattes blanches aux régulateurs financiers du monde entier. @

Charles de Laubier

Rançongiciels et « double extorsion » : le paiement de la rançon ne doit surtout pas être la solution

Publié le par

Les rançongiciels, en plein boom, constituent un fléau numérique mondial qui pourrait coûter en 2021 plus de 20 milliards de dollars de dommages – rançons comprises. Or payer les sommes exigées – sans résultat parfois – ne fait qu’alimenter un cercle vicieux que seul l’arsenal juridique peut enrayer.

Par Richard Willemant*, avocat associé, cabinet Féral

Selon l’Agence nationale de la sécurité des systèmes d’information (Anssi), un rançongiciel se définit comme une « technique d’attaque courante de la cybercriminalité [consistant] en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement » (1). Depuis plusieurs années, le monde entier connaît une augmentation exponentielle des cyberattaques par rançongiciels, marquée par une forte accélération ces derniers mois en pleine pandémie de covid-19 (2).

Ransomware-as-a-Service (RaaS)
Les signalements auprès de l’Anssi de ce type d’attaques informatiques ont en effet augmenté de près de 255 % en 2020 (3). Elles représentent une part substantielle des 3.000 notifications de violation de données (environ) qui sont régularisées auprès de la Commission nationale de l’informatique et des libertés (Cnil) chaque année (4). Ce véritable fléau numérique frappe tous les secteurs d’activités et tous les types d’acteurs économiques, y compris les plus sensibles, sans qu’aucune zone géographique ne soit épargnée. Cette tendance est facilitée par la disponibilité grandissante sur les marchés cybercriminels de solutions « clé en main » de type Ransomware-as-a-Service (RaaS) permettant, aux attaquants de type étatique ou hackers, de réaliser plus aisément des attaques massives ou ciblées. Si tous les acteurs économiques sont concernés, les spécialistes relèvent néanmoins une tendance accrue au ciblage d’entreprises, de collectivités publiques ou d’institutions particulières relevant du « Big Game Hunting » (chasse au gros gibier), en raison de leur taille, de leurs vulnérabilités – vraies ou supposées – et de l’impact médiatique (potentiel) d’une telle cyberattaque. L’actualité a été marquée, en pleine lutte contre le covid-19, par les attaques informatiques à l’encontre des hôpitaux qui sont devenus des cibles privilégiées. Le centre hospitalier de Dax (dans le sud de la France) a par exemple subi une attaque de grande ampleur, en février 2021, rendant indisponible l’ensemble de son système informatique, médical, comptable et de communication (5). Le système de santé irlandais (HSE) a également été victime d’un rançongiciel, en mai 2021 cette fois, conduisant à l’interruption de tous ses systèmes informatiques et notamment le système de prise de rendez-vous pour le dépistage du covid-19. Après avoir chiffré les données et bloqué les systèmes, l’attaquant aurait menacé de diffuser les données volées mais le Premier ministre irlandais a aussitôt déclaré que son pays ne paiera pas la rançon (6). Le monde a alors découvert, avec effroi, que les rançongiciels ne portent pas seulement atteinte aux données et à des valeurs économiques, mais qu’ils peuvent directement mettre en danger des vies humaines.
Le droit pénal et la procédure pénale en France sont d’ores et déjà pourvus en moyens de lutte. Les auteurs des attaques peuvent être poursuivis sur des fondements de droit commun et de droit spécial. En premier lieu, les faits relevant d’attaques par rançongiciel sont susceptibles de caractériser des infractions de droit commun, tels que le délit d’escroquerie (article 313-1 du code pénal) et le délit d’extorsion (article 312-1), réprimés par des peines principales d’emprisonnement respectivement de cinq ans et sept ans. Ces infractions peuvent éventuellement être commises et poursuivies avec la circonstance aggravante de bande organisée, étant précisé que dans cette hypothèse d’extorsion est alors un crime puni de vingt ans de réclusion criminelle et de 150.000 euros d’amende. En outre, ces attaques caractérisent des atteintes aux systèmes de traitement automatisé de données qui sont spécifiquement incriminées, au rang des infractions dites « informatiques », par les articles 323-1 à 323-8 du code pénal. Sont ainsi généralement constitués les délits d’accès et de maintien frauduleux dans un système de traitement automatisé de données, ainsi que le délit d’entrave et de faussement d’un système d’information, et le délit de modification frauduleuse de données, qui sont punis des peines principales de cinq ans d’emprisonnement et de 150.000 euros d’amende (sept ans de prison et 300.000 euros d’amende lorsque l’Etat est visé).

Un arsenal répressif et procédural
Il existe également une infraction d’association de malfaiteurs spéciale qui permet de poursuivre l’ensemble des personnes ayant participé à une entente en vue de préparer des cyberattaques. Ce délit spécifique est prévu par l’article 323- 4 du Code pénal et réprimé par la peine prévue par l’infraction la plus sévèrement réprimée commise par le principal auteur des faits. Tout cet arsenal répressif se conjugue avec des moyens procéduraux adaptés tenant compte de la portée et de l’intensité des atteintes qui requièrent souvent une coordination centrale des actions répressives. L’article 706- 72-1 du code de procédure pénale confie au procureur de la République, au pôle de l’instruction, au tribunal correctionnel et à la cour d’assises de Paris une compétence concurrente nationale en matière d’atteintes aux systèmes de traitement automatisé de données. Il existe en outre une section spécialisée au parquet de Paris, composée de magistrats consacrant leur quotidien à la lutte contre la cybercriminalité, ainsi que des bridages d’enquêteurs spécialisés de Police (OCLCTIC, BL2C) et de Gendarmerie (C3N).

Phénomène de la « double extorsion »
Le mode opératoire des cyberattaquants est marqué depuis 2019 par la prédominance d’un phénomène nommé « double extorsion », consistant à exercer une pression sur la victime en copiant ses données qui sont exfiltrées avant d’être cryptées, puis en menaçant de les publier sur Internet, afin de la conduire à payer la rançon. Dans cette hypothèse, la victime subit, d’une part, une privation de l’accès à ses données et souvent une indisponibilité de son système d’information et, d’autre part, une menace forte d’atteinte à sa réputation, à son image de marque, à la confidentialité à des données. Ces dernières peuvent être stratégiques, sensibles et relever du secret des affaires, outre qu’il peut s’agit de données à caractère personnel concernant notamment des salariés, des usagers ou des clients. La désorganisation de la victime du fait de l’indisponibilité de ses données se double alors de violences psychologiques d’une intensité considérable. C’est ce qui conduit, malheureusement, une part grandissante des victimes à s’incliner et à verser le montant de la rançon.
Or le paiement de la rançon aggrave souvent la situation : une très grande majorité des victimes d’attaque par rançongiciel qui paient la rançon sont la cible d’au moins une seconde attaque. Une étude menée au printemps 2021 montre même que la proportion des victimes qui aggraveraient ainsi leur sort en payant la rançon serait de 80 % au niveau mondial (7). Payer cette rançon n’est donc décidément pas la solution. Cela encourage évidemment les cybercriminels à poursuivre et multiplier leurs agissements. Et un paiement de la rançon ne garantit pas le décryptage des données : la promesse des pirates d’une remise de la clé de déchiffrement n’est pas toujours respectée, ou se trouve souvent conditionnée soudainement au versement d’une rançon complémentaire. Lorsque la victime dispose de la clé de décryptage, il est fréquent que les données soient endommagées et que leur restauration soit partielle, voire impossible. Seule une victime sur deux parvient à récupérer ses données sans aucune perte. Quant à la souscription d’une assurance contre les risques dits « cyber », elle n’est pas nécessairement une solution, notamment en raison des plafonds de garanties et des exclusions. En couvrant tout ou partie du montant de la rançon, ce type de police d’assurance alimenterait en outre le cercle vicieux qui conduit à une augmentation des attaques par rançongiciel. L’étude précitée mentionne d’ailleurs une autre source (8) montrant une progression vertigineuse du montant des rançons au cours des dernières années, passant de 6.000 dollars en 2028 à 84.000 dollars en 2019, avant de doubler en 2020 pour atteinte une moyenne de 178.000 dollars ! Et rien que sur le premier trimestre 2021, le montant moyen de la rançon atteint 220.298 dollars (9). Il convient de relativiser ces chiffres au regard des montants colossaux des rançons exigées dans le cadre de certaines attaques de grande envergure, pour celles qui sont rendues publiques. Selon les estimations (10), ce fléau mondial du ransomware devrait coûter 20 milliards de dollars en 2021 et grimper à 265 milliards de dollars en 2031.
Après que des cybercriminels aient piraté son réseau informatique, paralysant les livraisons de carburant sur la côte Est des Etats-Unis, la société américaine Colonial Pipeline a ainsi déclaré avoir payé une rançon en cryptomonnaie d’un montant de 4,4 millions de dollars en mai 2021, dont 2,3 millions récupérés par la suite avec l’aide du FBI (11). En juin 2021, la société JBS USA spécialisée dans l’agroalimentaire a, elle, payé une rançon d’un montant de 11 millions de dollars aux cybercriminels qui étaient parvenus à désorganiser plusieurs sites de production aux Etats-Unis et en Australie. Les sociétés Acer et Apple ont elles aussi été frappées, avec des demandes de rançons atteignant 50 millions de dollars.
Le lutte contre les attaques par rançongiciels suppose donc d’enrayer la logique actuelle de paiement des rançons qui produit des effets pervers et entretien le cercle vicieux de la cybercriminalité. Dans ce cadre, l’Union européenne – au travers du Cybercrime Centre de l’agence Europol – a créé en 2016 l’initiative « No More Ransom » (12), dont le but est notamment d’aider les victimes des rançongiciels à retrouver leurs données chiffrées sans avoir à payer les cybercriminels.

UE et USA : « No more ransom »
En juin 2021, face à l’ampleur du phénomène et aux montants considérables des rançons, en particulier dans les secteurs stratégiques, les Etats-Unis et l’Union européenne ont également pris une initiative commune visant à coordonner leurs actions de lutte. Les objectifs annoncés comprennent notamment des mesures répressives, une sensibilisation du public aux moyens de prévention, tout en encourageant la poursuite et la répression par tous les Etats concernés, en renforçant la coopération et l’entraide internationales. Le Trésor américain, lui, a annoncé le 21 septembre 2021 qu’il prenait « des mesures robustes pour contrer les rançongiciels » (13), notamment en s’attaquant aux devises virtuelles pour le blanchiment des e-rançons. @

* Richard Willemant, avocat associé du cabinet Féral, est avocat aux barreaux de Paris et du Québec, agent de marques, mandataire d’artistes et d’auteurs, médiateur accrédité par le barreau du Québec, délégué à la protection des données (DPO), cofondateur de la Compliance League, et responsable du Japan Desk de Féral.

Sécurité numérique : le Premier ministre plus que jamais en première ligne

Publié le par

Le Premier ministre est le régulateur de la sécurité numérique nationale. Le Conseil constitutionnel a confirmé en février dernier l’étendue de ses prérogatives et des garanties nécessaires en la matière. L’affaire « SolarWinds » appelle de telles garanties du côté des fournisseurs d’informatique en nuage.

Par Christophe Clarenc (photo), avocat, cabinet DTMV & Associés

La « transition numérique » de l’économie et des entreprises s’accompagne d’une démultiplication pandémique des violations et compromissions de sécurité des systèmes d’information (1), avec un flot continu de « fuites » massives de données, une industrialisation (à l’état de l’art) de l’exploitation des « failles » de sécurité, et une explosion des cyberattaques critiques.

Chaîne de compromission « SolarWinds »
L’Agence nationale de la sécurité des systèmes d’information (ANSSI) rapporte à cet égard un développement exponentiel à la fois des cyberattaques criminelles par rançongiciels et des menaces d’espionnage, de déstabilisation voire de sabotage à travers les attaques indirectes par rebond dans les chaînes de sous-traitance, d’approvisionnement et de partenariat industriels, dont la propre chaîne des fournisseurs de services d’informatique et d’infogérance en nuage.
Le risque systémique d’attaques ciblées et vectorisées par la chaîne d’approvisionnement informatique est plus que confirmé par la campagne de cheval de Troie menée dans et à partir de la plateforme de gestion et de supervision informatique (Orion) du fournisseur américain SolarWinds, détectée en décembre dernier (2). Par compromission des mises à jour logicielles distribuées par cette plateforme, cette attaque a infiltré et infecté en profondeur les systèmes de près de 18.000 de ses clients-utilisateurs, dont plusieurs départements de l’administration américaine (Pentagone, NSA, Trésor, Justice, Energie), de grands fournisseurs de services informatiques et de cybersécurité comme Microsoft et FireEye, et une série de grands comptes industriels aux Etats-Unis et en Europe.
Reçue comme un « Pearl Harbour » de la « Supply Chain Security », cette affaire a soulevé aux Etats-Unis un tourbillon d’interrogations et d’investigations sur l’état des risques, des faiblesses systémiques, notamment réglementaires, et des défaillances individuelles de sécurité dans l’industrie et la chaîne d’approvisionnement « IT » (Information Technology). Microsoft a répondu que ce type de cyberattaque « sera la norme ». Le New York Times a révélé que les mesures et la politique de sécurité de SolarWinds étaient structurellement déficientes, notamment pour satisfaire aux exigences de profitabilité de ses investisseurs. L’agence Moody’s a considéré que l’affaire « forcera une évaluation approfondie des éditeurs de logiciels » et que « la réglementation sur le risque cyber devrait s’accroître pour la chaîne d’approvisionnement ». La « transition numérique » interroge ainsi plus que jamais les pratiques, les garanties, les responsabilités et la régulation même de la sécurité numérique.
Ce qui, en France, invite à rappeler tout d’abord la fonction institutionnelle du Premier ministre dans la protection et la régulation de la sécurité numérique nationale, à souligner ensuite la force de la récente décision n°2019- 810 QPC du Conseil constitutionnel sur les exigences de contrôle des garanties de sécurité, et à évoquer enfin les nécessités d’un renforcement des certifications obligatoires, des garanties et des responsabilités du côté de la chaine des fournisseurs d’informatique et d’infogérance en nuage. Le Premier ministre est institutionnellement le régulateur de la sécurité numérique nationale.
Au titre de ses attributions de responsable de la défense et de la sécurité nationale, il a pour fonction et mission de définir la politique, de coordonner l’action gouvernementale et de fixer et contrôler le respect des règles nécessaires aux besoins de sécurité des systèmes d’information (SSI) dans le cadre de la défense et de la promotion des intérêts fondamentaux de la nation, dont son indépendance, sa sécurité et les éléments essentiels de son potentiel scientifique, technique et économique incluant la « souveraineté numérique ».

Règles et référentiels de sécurité
Le Premier ministre dispose en particulier à cet effet :
du Secrétariat général de la défense et de la sécurité nationale (SGDSN), qui préside le Comité stratégique de la SSI et prépare la réglementation ;
de l’ANSSI, qui élabore les référentiels d’exigences pour l’évaluation et la qualification des produits et des prestations de confiance pour les besoins de la SSI ;
du Service de l’information stratégique et de la sécurité économiques (SISSE), qui informe sur les entités, les réglementations, les standards de conformité et les pratiques d’affaires extérieurs susceptibles de menacer les technologies, les entreprises et les filières stratégiques pour l’économie française. Le Premier ministre structure les conditions et la filière de la cybersécurité nationale en promouvant et en approuvant les référentiels de qualification et d’exigences des produits de sécurité et des prestataires de service de confiance (3).
Des référentiels de qualification ont été fixés pour les prestataires d’audit de la SSI (PASSI), les prestataires de détection des incidents de sécurité (PDIS), les prestataires de réponse aux incidents de sécurité (PRIS) et les prestataires de services d’informatique en nuage (PSIN IaaS PaaS et SaaS). Ils sont en cours d’élaboration pour les prestations d’administration et de maintenance sécurisées (PAMS) et les prestations d’accompagnement et de contrôle de SSI (PACS).

Pouvoir de régulation du Premier ministre
Le Premier ministre fixe et contrôle le respect des règles de politique de SSI des opérateurs désignés d’importance vitale (OIV) et des opérateurs publics ou privés qui participent à leurs systèmes (4), ainsi que des opérateurs désignés de services essentiels au fonctionnement de la société et de l’économie (OSE) (5). Ces règles recouvrent les domaines de la gouvernance, de la protection, de la défense et de la résilience des systèmes et des activités concernés. Elles obligent ou préconisent le recours aux prestataires de service de confiance qualifiés, et peuvent prescrire le recours à des dispositifs matériels ou logiciels ou à des services informatiques dont la sécurité a été certifiée.
L’ANSSI souligne à cet égard, d’une part, que « la mise en conformité d’un [système d’information essentiel (SIE)] à la réglementation est de la responsabilité de l’opérateur », que « lorsque l’opérateur confie tout ou partie de la conception ou de l’exploitation [de son SIE] à un prestataire, le contrat doit prévoir les mesures de sécurité que le prestataire doit mette en oeuvre », et que « le niveau de sécurité exigé pour [son SIE] est le même que celuici soit directement géré par l‘opérateur ou qu’il soit confié à un prestataire », d’autre part, qu’« un prestataire qualifié fournissant une prestation qualifiée est considéré comme étant de confiance par défaut, alors que si la prestation n’est pas qualifiée, l’opérateur a la responsabilité de s’assurer du respect des exigences de sécurité par son prestataire » (6). Enfin, le Premier ministre contrôle et autorise l’exploitation par les opérateurs de réseaux 5G, directe ou par l’intermédiaire de tiers fournisseurs, des appareils (tous dispositifs matériels et logiciels) de connexion des terminaux au réseau qui, par leurs fonctions (7), présentent un risque pour le respect des règles de permanence, d’intégrité, de sécurité ou de disponibilité du réseau ou de confidentialité des messages transmis et des informations liées aux communications, et refuse l’octroi de cette autorisation s’il estime qu’il existe un risque sérieux d’atteinte aux intérêts de la défense nationale « résultant du manque de garantie du respect [de ces] règles », en considération du « niveau de sécurité » et des « modalités de déploiement et d’exploitation envisagées » de ces dispositifs et du « fait que l’opérateur ou ses prestataires, y compris par sous-traitance, est sous le contrôle ou soumis à des actes d’ingérence d’un Etat non membre de l’Union européenne » (8).
Dans sa décision du 5 février dernier (n°2020-882 QPC), le Conseil constitutionnel a remarquablement validé ce régime de contrôle et d’autorisation par le Premier ministre, en affirmant tout d’abord qu’il mettait « en oeuvre les exigences constitutionnelles inhérentes à la sauvegarde des intérêts fondamentaux de la nation » en ce qu’il avait pour objectif de « prémunir les réseaux mobiles des risques d’espionnage, de piratage et de sabotage pouvant résulter des nouvelles fonctionnalités offertes par la 5G », en soulignant ensuite qu’il ne visait « ni un opérateur ou un prestataire déterminé ni les appareils d’un fabricant déterminé » et que le critère d’appréciation du risque sérieux d’atteinte « dû à l’insuffisance des garanties du respect des règles » lié à la considération du « fait que l’opérateur ou son prestataire est sous le contrôle ou soumis à des actes d’ingérence d’un Etat étranger » est cohérent avec l’objet de l’autorisation, laquelle est accordée « non pas seulement en fonction des caractéristiques de l’appareil », mais aussi au regard des modalités de déploiement et d’exploitation envisagées, « ce qui recouvre les opérations de configuration, de supervision ou de maintenance par des prestataires et sous-traitants ».

Garanties des fournisseurs d’informatique en ligne
Ces exigences constitutionnelles de sécurité numérique nationale pourraient supporter un renforcement des garanties de sécurité et de confiance du côté des fournisseurs d’informatique et d’infogérance en nuage, qui sont à la fois les principaux transitaires et bénéficiaires de la « transformation numérique » et des facteurs et des vecteurs de risques de sécurité bien identifiés avant l’affaire « SolarWinds » (9).
En décembre 2020, l’ANSSI appelait l’Union européenne à « élever le niveau de sécurité de la chaine d’approvisionnement » et à « garantir la sécurisation des chaînes de valeur numériques » en activant des « leviers tels que la certification ou encore l’encadrement de la responsabilité des acteurs privés ». A cette date, aucun des grands fournisseurs d’informatique et d’infogérance en nuage actifs en France ne présentait la certification de confiance de l’ANSSI. Elle n’était que volontaire et pourrait légitimement devenir une « norme » obligatoire. @

La législation française permet-elle de protéger entreprises et médias contre les cyberattaques ?

Publié le par

Le 7 novembre 2017, la Cour de cassation confirmait la condamnation d’un individu pour avoir participé au groupement Anonymous en vue d’une attaque par déni de service. Décision isolée ? Ou les entreprises et les médias ont-elles les moyens juridiques pour lutter contre les cyberattaques ?

Par Corentin Pallot, Hervé Castelnau et Marie-Hélène Tonnellier – Latournerie Wolfrom Avocats

Ces dernières années, les médias ont été les victimes directes ou indirectes de plusieurs cyberattaques. On se souvient notamment, en avril 2015, de l’arrêt de la diffusion de TV5 Monde qui avait, à l’époque, fait grand bruit. Ayant fait face à une
« agression fulgurante, qui a probablement été très bien préparée », le directeur informatique de TV5 Monde s’était en effet trouvé forcé de « tout couper », occasionnant un coût de « dix millions d’euros à la chaîne et le rehaussement du niveau de sécurité confié à la filiale cyber d’Airbus, [engendrant ainsi] une dépense
de 3,5 millions d’euros chaque année ».

DoS/DDoS et droit pénal
Trois mois plus tôt, en janvier 2015, Le Monde annonçait que l’Armée électronique syrienne (SEA) avait tenté de prendre le contrôle du compte Twitter de Lemonde.fr
et avait réussi à s’infiltrer dans son outil de publication, puis essayé de diffuser des articles, en vain. Mais quelques jours plus tard, la SEA réussissait finalement à pirater le compte Twitter du Monde et publiait quelques messages (1). Peu de temps après, Lemonde.fr faisait l’objet d’une attaque par « déni de service » – aussi connue sous l’acronyme DoS pour « Denial of Service ». En 2016, une cyberattaque contre une société chargée de rediriger les flux Internet vers les hébergeurs empêchait l’accès à de prestigieux médias américains comme CNN, le New York Times, le Boston Globe,
le Financial Times ou encore The Guardian.
En mai 2017, le prestataire français Cedexis racheté en février par l’américain Citrix
et chargé d’aiguiller une partie du trafic Internet, était la cible d’une attaque DDoS (Distributed Denial of Service). S’en suivait la perturbation de l’accès à de nombreux sites web, parmi lesquels ceux du Monde, de L’Obs, du Figaro, de France Info, de 20 Minutes ou encore de L’Equipe.
Pourtant, sur le papier, l’arsenal répressif français permettant de lutter contre les infractions informatiques se présente particulièrement étoffé. Certaines atteintes commises sur (ou via) des moyens numériques peuvent bien entendu être réprimées par le droit pénal général (vol pour sanctionner le détournement de données, escroquerie pour condamner le phishing, recel de contrefaçon de logiciels, etc.).
Mais le code pénal prévoit également un nombre conséquent de textes spécifiquement destinés à encadrer l’usage des outils informatiques. Pionnière en la matière, la loi
« Godfrain » du 5 janvier 1988 (2) permet ainsi de lutter contre les « atteintes aux systèmes de traitement automatisé de données » (accès frauduleux à un serveur, modification des informations contenues dans un ordinateur, etc.). Mais il y a beaucoup d’autres exemples de textes répressifs dédiés au numérique, comme les sanctions spécifiques en matière de pédopornographie lorsqu’il y a utilisation d’un réseau de communications électroniques (3), l’infraction constituée par le défaut de mentions légales sur un site Internet (4), l’atteinte au secret des correspondances émises par voie électronique (5), etc. La décision rendue le 7 novembre 2017 par la chambre criminelle de la Cour de cassation pourrait laisser penser que la justice se saisit avec fermeté de ces sujets, en n’hésitant pas à sanctionner des individus qui auraient participé, même indirectement, à des cyberattaques. En l’espèce, un individu avait
mis à disposition des internautes un «WebIRC » (IRC pour Internet Relay Chat, un protocole de communication textuelle sur Internet) sur un serveur dont il était locataire et gestionnaire, afin de leur faciliter l’accès à des sites web de discussion. Cet IRC avait facilité la conduite d’une attaque par déni de service dirigée contre EDF, sur fond de protestations contre le nucléaire. En effet, parmi les sites Internet qu’il référençait, figuraient ceux utilisés par des membres Anonymous, et notamment un site web dédié aux discussions sur les modalités concrètes d’opérations du mouvement « hacktiviste » contre EDF, parmi lesquelles une attaque par déni de service.

Atteinte à un système informatique
L’individu en question ne contestait pas les faits ; il avait même affirmé à l’audience avoir ressenti de la fierté lorsqu’il avait appris que des Anonymous avaient cité son WebIRC comme moyen d’accès au forum de discussion du groupement pour une autre opération contre EDF. Il n’ignorait d’ailleurs pas l’opération qui était mise au point sur
le site web de discussion qu’il hébergeait. Toutefois, l’homme n’avait pas pris part à la cyberattaque ; il affirmait en outre désapprouver les attaques DoS. Il assurait aussi ne pas avoir participé activement à la définition des modalités des actions d’entrave contre EDF et ne pas nécessairement les approuver, n’étant personnellement pas opposé au nucléaire. Pour reprendre les termes de la Cour de cassation, cette personne se présentait avant tout comme « un acteur de mise en relation [n’ayant] agi que dans
le but de favoriser un usage flexible et libre d’Internet [et ne maîtrisant pas] l’utilisation [des sites web accessibles via son serveur] par les internautes qui ne faisaient que passer par son serveur pour échanger entre eux ». Confirmant la position de la cour d’appel de Paris, la Cour de cassation a considéré que ces éléments étaient suffisants pour sanctionner l’individu sur le fondement de la « participation à un groupement formé ou à une entente établie en vue de la préparation, caractérisée par un ou plusieurs faits matériels, d’une ou de plusieurs des infractions » d’atteinte à un système de traitement automatisé de données (6), validant ainsi sa condamnation à une peine de deux mois d’emprisonnement assortis d’un sursis avec mise à l’épreuve.

Finalement, de rares condamnations
Le champ d’application de cette infraction, qui se trouve être une transposition dans la sphère numérique de l’ancienne « association de malfaiteurs », a été ici sensiblement étendu par les magistrats. En effet, la jurisprudence et la doctrine considéraient jusqu’alors qu’il était nécessaire que le groupement ou l’entente ait été constitué en vue de la préparation d’une atteinte à un système de traitement automatisé de données ou, à tout le moins, qu’il ait « à un moment donné eu pour but de préparer la commission » (7). Ce qui n’était pas tout à fait le cas ici. Faut-il y voir une forme de sévérité de l’appareil judiciaire à l’égard des hackers ? Peut-être, certes, sur le plan de l’interprétation de la loi. Pour autant, les poursuites et les condamnations reposant sur ces outils répressifs se révèlent en en réalité particulièrement rares.
Dans un rapport interministériel (8), datant certes de 2014 (mais l’on peut sérieusement douter d’une véritable amélioration), on apprenait ainsi qu’entre 2008 et 2012, seules environ 2.000 infractions par an étaient prononcées sur des fondements de droit pénal spécial du numérique (entendu au sens large, incluant par exemple des infractions au droit de la presse, des atteintes aux données personnelles, de la captation frauduleuse de programmes télédiffusés, des atteintes à la propriété intellectuelle, …). Et en regardant en détail ces statistiques, on s’aperçoit que certaines pratiques réprimées par le code pénal sont particulièrement peu sanctionnées. Ainsi, sur l’année 2012, seules 182 condamnations pour des atteintes à des systèmes de traitement automatisé de données – les attaques les plus fréquentes et les plus perturbantes pour les médias – étaient prononcées. Lorsque l’on sait qu’une étude de PwC estime à 4.165 le nombre de cyberattaques « détectées » en France en 2016, pour un montant moyen de pertes financières estimé dans chaque cas à 1,5 million d’euros (9), on ne peut que s’étonner et regretter que l’Etat ne se soit pas encore doté de véritables moyens techniques, financiers et surtout humains pour lutter opérationnellement contre ces pratiques qui entravent l’économie. A quoi sert en effet de disposer d’un arsenal répressif aussi puissant s’il n’y pas assez de soldats formés pour en faire usage ? Il paraît difficilement acceptable que les entreprises soient, à ce jour, livrées à elles-mêmes et à des solutions techniques coûteuses : selon un rapport d’Accenture de 2017, les coûts induits par la cybercriminalité auraient augmenté de 62 % en cinq ans (10) pour les entreprises, sans qu’elles puissent compter sur un véritable soutien de l’Etat. D’autant que – en plus des conséquences financières qui pèsent nécessairement sur l’économie – d’autres intérêts fondamentaux sont en jeu comme le respect de la liberté d’expression, clairement mis à mal quand les médias sont la cible de cyberattaques. Finalement, plutôt qu’un arsenal répressif objectivement difficile, voire irréaliste, à mettre en oeuvre a posteriori (difficultés techniques de l’expertise, problématiques d’extranéités inhérentes à Internet, etc.), ne devrait-on pas envisager des solutions plus réalistes et efficaces qui conjugueraient intelligemment droit et technique ?
En ce sens, voilà quelques semaines, le directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), faisait le constat suivant : « dans le cas d’une attaque massive de déni de service distribué […] les opérateurs sont les seuls
à pouvoir agir » (11). Quelques jours plus tard était présenté le projet de loi de programmation militaire (LPM) pour les années 2019 à 2025, avec des mesures qui visent à détecter les attaques massives au niveau des réseaux – et donc avant qu’elles ne puissent atteindre leurs cibles. Notamment, la mesure phare consiste à autoriser
les opérateurs télécoms à mettre en place des marqueurs techniques de détection des événements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés. LMP 2019-2025 : le rôle des « telcos » Si ce texte « LMP 2019-2025 » passe le filtre du Parlement (12), où il commencera à être débattu à l’Assemblée nationale à partir du 20 mars 2018, l’ANSSI pourra également imposer aux opérateurs télécoms d’avoir recours à ses propres marqueurs lorsqu’elle aura eu connaissance d’une menace. De plus, ces « telcos » seront tenus d’informer l’ANSSI des vulnérabilités
des attaques qu’ils auront détectées, et elle pourra même aller jusqu’à imposer aux opérateurs de réseaux et/ou aux fournisseurs d’accès à Internet (FAI) d’alerter leurs abonnés de la vulnérabilité ou de l’atteinte de leurs systèmes d’information. @