Dossier. Le piratage du géant suisse de l’armement, qui a permis le vol de très grandes quantités de données, révèle l’inaptitude de la Confédération à penser la révolution numérique.
Les cyber-flics helvétiques ne comprendront jamais ce qui s’est vraiment passé. Dans un rapport d’enquête rendu public le 23 mai, les experts du Computer Emergency Response Team (GovCERT), une unité d’informaticiens d’élite au nom aussi ronflant que leurs compétences sont pointues, placés sous la responsabilité du Département des finances (DFF), ont reconnu qu’ils ne parviendraient probablement jamais à faire toute la lumière sur le cas de piratage le plus grave découvert à ce jour dans les installations gouvernementales suisses.
L’histoire est aujourd’hui connue, et fait les gros titres de la presse depuis mai dernier: une cyberattaque, conduite de manière très ciblée et professionnelle, a permis à des pirates de voler de très grandes quantités de données de l’entreprise d’armement Ruag. Pire: les assaillants ont profité des passerelles avec l’administration fédérale pour accéder au service de messagerie Outlook de la Confédération. Même si tous les regards se tournent aujourd’hui vers la Russie, l’origine précise du piratage restera un mystère.
Si les cyber-flics helvétiques ne connaîtront jamais le fin mot de l’histoire, c’est pour une raison toute simple. Il s’avère que les services informatiques de Ruag n’ont pas gardé les historiques d’activité des serveurs avant septembre 2014. Ces fichiers, cruciaux pour mesurer l’ampleur de l’attaque et remonter à son origine, ont été effacés automatiquement lors d’opérations de maintenance. Sans ces archives, il sera tout bonnement impossible de savoir avec précision depuis quand les hackers espionnaient leur cible ni quelles méthodes ils ont employées pour percer les défenses de Ruag.
Dans leur rapport, les experts du GovCERT se montrent pourtant très compréhensifs. Ils notent même avec empathie que «les reproches publics ne servent à rien dans ce genre de cas». Mieux vaut, selon eux, se concentrer sur les leçons à tirer. C’est pourtant à ce chapitre que les choses deviennent les plus humiliantes pour Ruag. En conclusion de leur enquête, les cyber-flics établissent une liste des «recommandations les plus efficaces pour prévenir ce genre d’attaque», annonçant benoîtement que celles-ci pourraient être implémentées «à peu de frais et sans trop de travail».
En clair: l’ex-régie fédérale Ruag, multinationale de l’armement et de la défense, 8000 employés et 1,75 milliard de francs de chiffre d’affaires, dont 700 millions de commandes de la Confédération, une firme elle-même spécialisée dans la vente de solutions de cyber-sécurité, oui, cette entreprise-là aurait pu aisément «implémenter» des protections techniques qui auraient rendu la tâche beaucoup plus difficile aux pirates. Mais elle ne l’a pas fait. Comme quoi, même dans les plus hautes sphères du complexe militaro-industriel helvétique, on est plus malin après.
Le scénario de l’attaque que les experts ont pu reconstituer, même en prenant des pincettes pour rédiger leur rapport, est celui d’une véritable déculottée. La menace était connue, documentée, répertoriée par des experts internationaux à partir de nombreux cas de cyberattaques semblables, réalisées avec les mêmes outils, par les mêmes acteurs, probablement russes, qui ont touché des ambassades et des entreprises en Europe et aux Etats-Unis depuis 2008.
A de multiples reprises, des autorités gouvernementales et des cabinets d’experts avaient averti que des équipes de pirates agissant dans le giron de la Russie multipliaient les attaques sur des infrastructures étatiques en Europe, avec des moyens techniques ultraperfectionnés, mêlant espionnage et sabotage.
Tout cela n’a rien empêché. Quand l’attaque a visé une entreprise suisse, probablement la plus exposée de toutes, ces avertissements n’ont servi à rien, et Ruag s’est offerte en victime bien facile. Il aura fallu attendre l’intervention d’un service de renseignement étranger pour que le piratage soit enfin détecté.
Les cyber-flics ont ensuite trouvé les indices. Le code informatique utilisé par les pirates contenait les surnoms de programmeurs russophones. Leurs activités sur les serveurs de Ruag correspondaient aux horaires de bureau de Moscou. Il ne s’y passait rien lors des jours fériés en Russie.
Si l’humiliation a au moins un mérite, c’est de prouver de manière flagrante que la cyber-défense suisse n’est qu’un fromage percé de trous, une ligne Maginot numérique aussi inefficace et mal conçue que les casemates de Verdun en leur temps. Et ce n’est même pas le pire. Non contente de signer l’échec de la Stratégie nationale de protection contre les cyber-risques (SNPC), un texte bric-à-brac de 16 mesures planifiées par le Conseil fédéral en 2012, la bérézina de Ruag s’expliquerait en réalité par une approche généralement inadaptée de la Confédération en matière de numérique.
Professeur à l’Université de Genève, Jean-Henry Morin est l’un des nombreux experts des technologies de l’information qui le clament – le plus souvent dans le vide – depuis des mois voire des années. A ses yeux, l’échec «cataclysmique» que représente le piratage de Ruag n’est que le révélateur d’un mal plus profond. «Le cybercrime est l’un des domaines où l’absence de stratégie numérique est la plus visible aujourd’hui», estime-t-il.
La faute reviendrait à une conception très «confédérale», qui préfère étaler les responsabilités entre divers départements, unités et divisions, autant par méfiance envers la concentration des pouvoirs que pour ménager les prés carrés des uns et des autres. Résultat: personne n’agit et ne prévoit. Et lorsque survient l’attaque, chacun serre son casque et rejoint sa tranchée. Une semaine après la révélation de l’attaque contre Ruag, le chef du Service de renseignement de la Confédération (SRC), Markus Seiler, rejetait la responsabilité sur les entreprises, seules capables de se protéger efficacement.
L’organisation actuelle de la Suisse en matière de cyber-sécurité reflète à elle seule tout le problème. En théorie, depuis l’établissement de la Stratégie nationale de protection contre les cyber-risques en 2012, la «sécurité des systèmes informatiques et de l’internet» ainsi que la «protection des infrastructures nationales et vitales» incombent à la Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI). Mais rien n’est simple dans l’organigramme cyber-confédéral.
Concrètement, MELANI partage ses compétences avec trois autres entités: GovCERT, qui réunit des experts techniques au sein du Département des finances d’Ueli Maurer, le Service de renseignement de la Confédération et l’Unité de pilotage informatique de la Confédération (UPIC), elle-même en charge de coordonner la mise en œuvre de la fameuse Stratégie nationale contre les cyber-risques censée centraliser les responsabilités au sein de… MELANI. Difficile à suivre, certes, et ce n’est encore qu’un résumé qui vous épargne les détails de la «doctrine» en matière de cyber-sécurité du Département de la défense, établie sur la base d’une «étude conceptuelle de 2013».
Des conséquences pour chacun
On serait pardonné de penser que ce méli-mélo n’a pour seul but que de diluer les responsabilités. L’organisme central en matière de cyber-sécurité l’admet d’ailleurs lui-même sur son site internet: «Grâce à cette coopération (entre GovCERT, SRC et UPIC), les charges d’exécution des tâches de MELANI peuvent être réduites au minimum (sic).» Minimum de tâches, minimum de responsabilités en cas de problèmes, le monde n’est-il pas parfait?
«Depuis trop longtemps, la Suisse adopte une attitude purement réactive en matière de numérique, tonne Jean-Henry Morin. Les autorités fédérales attendent le problème et cherchent ensuite à panser la plaie. On crée une commission, on nomme trois experts, on considère que la question est technique et on commande un rapport. Tout cela ne conduit qu’à produire de la paperasse.» Là encore, la gestion calamiteuse des cyber-risques n’est qu’un exemple parmi d’autres.
La dilution des tâches et des responsabilités par des aréopages fédéraux générateurs de rapports s’observe dans bien d’autres domaines. Prenez l’innovation, vaste thème propice aux épanchements jargonneux. Comme le rappelait Jean-Henry Morin dans une chronique parue dans Le Temps en janvier dernier, Doris Leuthard, alors présidente de la Confédération, s’inquiétait en 2010 déjà des mauvais classements de la Suisse dans les différentes études internationales liées à l’économie numérique. Aussitôt dit, aussitôt fait. Une étude fut commandée à un «partenariat public-privé» intitulé «eEconomy Board».
L’initiative, qui n’a débouché sur rien, a été reprise en main par le Secrétariat d’Etat à l’économie (SECO), qui a produit à son tour trois rapports sur le thème de la «cyber-économie» entre 2012 et 2014. Pour parfaire le tout, une nouvelle étude a été commandée en 2015 à une entreprise privée, dans le but «d’évaluer» les trois rapports précédents.
Résultat? Six ans après les premières inquiétudes de Doris Leuthard, «la Suisse n’a toujours pas d’agenda numérique digne de ce nom, dénonce Jean-Henry Morin. Or, au-delà des questions de cyber-risques, les effets de ce manque de vision et d’anticipation vont se manifester dans bien d’autres domaines de la société», prévient-il. Protection des données, usages du big data dans le domaine de la santé ou de l’énergie, renforcement de la surveillance, révolutions de pans entiers de l’économie: les thèmes nécessitant une orientation politique au plus haut niveau ne manquent pas.
Comme elle l’a fait pour les enjeux stratégiques de ses relations avec l’Europe ou dans le domaine des affaires financières internationales, la Suisse doit-elle se doter d’un Secrétariat d’Etat au numérique? Les rares politiciens qui ont esquissé des projets dans ce sens ont jusqu’ici échoué, ne serait-ce qu’à lancer le débat. Les conseillers nationaux vaudois Fathi Derder (PLR) et Claude Béglé (PDC) ont tous deux récemment déposé des postulats et motions allant dans le sens d’un renforcement du «pilotage» de la politique numérique, mais ces initiatives n’ont eu que très peu d’écho.
«L’avantage d’être en retard sur tout le monde existe, veut croire Jean-Henry Morin. De très nombreux pays ont lancé leurs agendas numériques entre 2006 et 2010. Il est possible d’observer leurs résultats, d’apprendre de leurs succès et de leurs échecs. Ce n’est pas comme si l’on devait tout réinventer. Mais la fenêtre d’opportunité pour transformer le retard de la Suisse en avantage devient de plus en plus courte.»
