Comment le renseignement militaire travaille avec ses partenaires

Spread the love
Comment le renseignement militaire travaille avec ses partenaires

« Discret, mais pas secret » : le Général Bucquet de la direction du renseignement de la sécurité et de la défense (DRSD) résumait ainsi la position de son service, qui présentait vendredi dernier à la presse son activité. Il est assez peu commun de voir les services de renseignement communiquer sur leur travail, mais les entreprises en contrat avec le ministère des armées sont, comme tant d’autres, confrontées à une forte croissance des attaques informatiques.

publicité

Transformation numérique, un passage obligé

C’est l’une des raisons ayant conduit le service à se transformer et à mettre l’accent sur le recrutement d’experts en informatique devenus aujourd’hui nécessaires pour permettre à la DRSD de continuer à assurer ses missions. La DRSD est le service de renseignement chargé du contre-espionnage (dites « contre-ingerence » dans le jargon) et se charge de s’assurer que les entreprises manipulant des données secret défense ne deviennent donc pas le maillon faible de la chaîne. « Il y a quelques années, notre principale menace provenait de l’espionnage traditionnel au travers de stagiaires ou de délégations. Aujourd’hui, ce que les entreprises ont de plus précieux, ce sont leurs données, qui leur permettent de fonctionner et de rester competitives » explique le général. Un changement de paradigme pour le service, qui s’efforce depuis deux ans de regonfler ses effectifs et de signer des partenariats avec l’écosystème visant à étoffer la compréhension des menaces informatiques.

Quand on travaille sur des documents ou des informations secret défense, la DRSD veille au grain : le service inspecte ainsi une cinquantaine d’entreprises par an, afin d’auditer leurs postures en matière de cybersécurité. Elle se charge également de conseiller les entreprises sur les questions liées à la cybersécurité : plus de 4000 entreprises en contrat avec le ministère des armées font ainsi partie de son périmètre, et dans des secteurs parfois très divers, avec une maturité variable sur le plan de la cybersécurité. « Nous sommes confrontés à des cas de figure très différents, certaines entreprises ont des activités qui n’ont rien à voir avec la cybersécurité, par exemple des acteurs du monde industriel. Mais certains critères ne trompent pas : par exemple, lorsqu’on se rend compte que le RSSI est rattaché uniquement à la DSI, on a tendance à penser que le niveau de protection n’est pas excellent, parce que dans ces cas là, le RSSI est toujours perçu comme l’empêcheur de tourner en rond » indique le Colonel Mathieu, chargé du volet cyber du service.

La DRSD en action

Le service mène également des investigations suite à d’éventuels soupçons de compromission, 70 en 2020. L’occasion de présenter un retour d’expérience sur un cas réel : si le nom de l’entreprise n’est pas dévoilé, le colonel Laurent qui assure la présentation nous assure qu’il s’agit d’un cas de figure tiré d’une investigation réellement menée par leurs services. On se contentera de le croire sur parole.

« L’entreprise concernée intègre des équipements maritimes sur des navires assure de la formation d’équipage et livre des navires pour le ministère des armées. Les responsables de sécurité nous appellent parce qu’ils ont détecté des anomalies sur leur réseau wifi et sur leur système d’information, alors qu’un équipage est en formation à l’étranger sur un navire » explique le militaire. Naturellement, l’entreprise concernée manipule des données classées, notamment des plans de bateaux militaires, et le risque de vol de données inquiète la DRSD. Les entreprises qui manipulent ce type de données travaillent en contact étroit avec le service de renseignement, et sont chargées de l’avertir quand elles détectent des anomalies sur leurs systèmes. Le service décide ensuite s’il y a lieu ou non d’investiguer.

Dans ce cas précis, l’investigation ne va pas exactement se passer comme prevu : «  Nous avons commencé par une analyse de l’activité sur les réseaux wifi qui nous a permis de déterminer quel type d’équipement se connectait et provoquait des anomalies. Il s’agissait d’un ordinateur Dell appartenant à l’un des membres de l’équipage. Mais les investigations menées sur l’ordinateur nous ont permis de voir qu’il cherchait juste à contourner les mesures de protection mises en œuvre par la société pour pouvoir contacter sa famille. » Pas d’espionnage à l’horizon donc, mais un simple recadrage d’un employé ayant le mal du pays.

Les RAT quittent le navire

Les analyses menées sur le système informatique révèlent néanmoins un autre sujet d’inquietude : la présence de deux RAT, Quasar et Nanocore, sur le système informatique de l’entreprise. Nanocore est apparu sur le réseau quelques jours avant l’arrivée de l’équipage, Quasar quelques jours plus tard. Le vecteur ayant permis l’installation de ces programmes malveillants n’a pas été déterminé avec exactitude « mais probablement via un spear phishing ou l’exploitation d’une vulnerabilité ».

« Les deux logiciels malveillants n’ont pas réussi à se reconnecter à internet, nous avons donc déterminé qu’il n’y avait pas eu d’exfiltration de données. Mais on a réussi à identifier le serveur de contrôle des attaquants » indique le colonel. Des investigations menées sur le serveur de commande ont ainsi permis de déterminer que celui-ci avait visé quatre autres entreprises du secteur, et donc de transmettre les indicateurs de compromissions aux partenaires concernées. Au total, l’enquête aura pris plus de six mois, mais des zones d’ombres susbsistent : s’agissait-il d’une attaque cybercriminelle, ou d’une tentative d’espionnage sur une entreprise travaillant sur des données sensibles ? « L’utilisation de RAT de bas niveau nous fait penser à du rançongiciel, mais cela pourrait aussi être du cyberespionnage » indique le colonel. Difficile de faire la part des choses quand les modes opératoires sont souvent similaires.

La DRSD reste discrète sur les différents indicateurs de compromission qu’elle découvre au cours de ses investigations : ceux-ci sont analysés et décortiqués en interne par le service, qui peut ainsi se tenir informé de l’évolution des attaquants. Mais dans certains cas, les indicateurs peuvent être communiqués aux autres entreprises du secteur, notamment au travers de l’action de l’Anssi. « Quand on investigue, on fait généralement un rapport auprès de la direction pour leur expliquer ce qu’on a trouvé, mais on ne communique pas directement les indicateurs de compromission à l’entreprise concernée » nous expliquent les agents.

Leave a Reply