Les faits ont été découverts par nos confrères de l’Express/l’Expansion : Areva (ex Cogema, Compagnie générale des matières nucléaires) a vu son infrastructure informatique piratée pendant plus de deux ans. Le fait aurait été découvert il y a une dizaine de jours, et révélé en interne dans le courant de la journée de jeudi. Intrusion qui toucherait aussi bien des installations situées en France qu’à l’étranger. Depuis plus de trois jours, précisent nos confrères, les équipes informatiques « renforcent les mesures de sécurité ». Etrange réponse… car pour renforcer, il faut au minimum connaître l’ampleur des points de pénétration, ce qui laisserait entendre qu’il faut… 10-3… oui, 7 jours pour réaliser un audit général d’une structure étendue dans le monde entier, touchant aussi bien aux domaines du nucléaire civil que militaire… et immédiatement déployer des solutions de colmatage adéquates. Ce qui impliquerait également que les intrus, deux ans durant, n’auraient jamais pris la peine de se réserver d’autres backdoors que celles qu’ils auraient utilisés pour violer les systèmes d’Areva une première fois.
Même xylolangage envers nos confrères de France Info , qui parviennent à arracher ce qui est probablement la plus remarquable formule d’enfumage de l’histoire de la sécurité informatique. Nous citons : « Des pirates sont parvenus à infiltrer le réseau qui permet l’échange d’informations « non-critiques » entre les différentes entités du groupe, selon le porte-parole d’Areva. » Fin de citation. Le porte-parole ne dit pas formellement que les réseaux compromis ne comportaient que des informations non critiques, mais que le point d’entrée relevait d’une sorte d’intranet destiné aux échanges inter-filiales non importants. Le dernier hack qui a exploité une faiblesse dans un intranet pour ensuite dérouler toute une pelote de faiblesses de cloisonnement interne était celui de Sony, et l’on connaît les conséquences et les réactions en chaîne …
L’on peut également se féliciter de la célérité des analyses forensiques des DirCom de cette entreprise stratégique nationale qui sont, dans le même temps, parvenus à remonter à la source de l’intrusion. Toujours selon nos confrères de l’Expansion, « Une origine « asiatique » est évoquée ». Là, l’équipe de Cnis se perd en conjectures. Asiatique… Serait-ce le Japon en quête d’une solution de remplacement aux réacteurs de Fukushima ? Car depuis quelques mois, il est devenu impossible d’accuser les dangereux hackers Chinois. Car tout d’abord, il leur arrive d’utiliser des exploits antédiluviens utilisant des fichiers pdf forgés, et ça, c’est pas glorieux. Des fois que les Sorciers de l’Atome se seraient fait avoir avec autant de facilité que les ronds de cuir de Bercy… Ensuite, c’est le Quai d’Orsay qui pourrait trouver à y redire. Accuser l’Empire du Milieu, outre les conséquences désastreuses que cela pourrait avoir dans le cadre des échanges commerciaux, ce serait risquer de voir naître une nouvelle campagne de presse et des avalanches d’articles dans le Quotidien du Peuple expliquant que la Chine est le premier pays piraté au monde, et que tout çà est une honteuse accusation, dénuée de preuve de surcroît. Ce qui serait exact d’ailleurs : un « traceback » de numéro IP ne signifie strictement rien dans l’univers informatique …
Il reste, de ce préoccupant fait divers, deux ou trois points relativement graves qui n’ont pas été notés par nos confrères. A commencer par une absence totale de maîtrise de la communication de la part de la cellule de crise mise en place. L’on a échappé à un « les pirates n’ont pu avoir accès aux systèmes de commande de plongée des barres de combustible », mais on en n’était pas loin. Il semble également que le cloisonnement de l’infrastructure n’ait pas été aussi parfait qu’on voudrait le laisser entendre : un hack ne perdure pas deux années durant s’il ne parvient pas à extraire des informations intéressantes. Le dernier point concerne les conséquences de cette découverte. En toute logique, cet accident débouchera sur la nomination d’une équipe chargée d’auditer l’infrastructure touchée. Audit dont les conclusions seront tenues secrètes, tant pour ce qui concerne les mesures à prendre que pour ce qui touche aux points de faiblesse qui auront été mis en évidence. Ce secret est logique, mais doit-il être systématiquement aussi opaque lorsqu’il concerne une infrastructure Scada aussi sensible ?
3 commentaires