La Belgique s’en va-t-en cyberguerre
Au moins 70 000 systèmes informatiques sont vulnérables en Belgique. Certains ont subi des intrusions, à l’instar des serveurs de l’armée, mais aussi du SPF Intérieur ou des hôpitaux. Nos institutions constituent la cible de cyberattaques répétées. L’exécutif fédéral rêve la Belgique comme un leader international de la cybersécurité et veut déployer un bataillon de soldats du Web. Des ambitions qui paraissent surréalistes, faute de moyens et de personnel.
Mise en quarantaine. Le 15 décembre 2021, les informaticiens de l’armée belge détectent un trafic suspect sur un de leurs serveurs. L’activité anormale se propage dès le lendemain, ailleurs sur le système. Le commandement décide alors de rompre tous les liens entre leurs réseaux et Internet. « Il n’y a pas eu d’impact sur nos opérations militaires extérieures, mais tous nos services fonctionnaient en autarcie », nous souffle un contact à la Défense. La situation durera plus d’un mois.
Lorsqu’on envoyait un mail à un destinataire dont l’adresse se termine par le domaine militaire @mil.be, le serveur répondait alors automatiquement par un message d’erreur Mail Delivery System. Une communication succincte en trois langues assurait que l’envoi serait traité « dès la connexion rétablie ». Un protocole classique pour laisser le temps aux informaticiens de passer au peigne fin les structures, les sauvegardes et les e-mails entrants, et de réduire toute possibilité d’attaque…
Un moindre mal, serait-on tenté de conclure. Qui ne s’est jamais fait pirater une boîte mail perso ou du bureau ? Sauf qu’il ne s’agit pas ici d’un simple vol de mot de passe, mais d’une attaque contre le « dernier rempart de la sécurité nationale ». Un cas symbolique qui a forcé la ministre de la Défense, Ludivine Dedonder (PS), à réagir, tout en maintenant un certain degré de confidentialité sur le sujet. Lorsque, fin janvier, le député Theo Francken (N-VA) l’a interpellée en commission parlementaire quant aux implications concrètes de cette attaque, elle a en effet requis le huis clos.
L’art de l’esquive
Jusqu’alors, les déclarations officielles relativisaient l’incident. Mais des indiscrétions ont fuité dans la presse flamande, amenant la ministre à s’interroger sur un éventuel dépôt de plainte auprès de la présidence du Parlement pour violation des règles du huis clos. Des confidences recueillies dans les travées de la Chambre font état de craintes quant à une « catastrophe qui nous dépasse » ou une « cyberguerre dont on tait le nom ». Les risques sont très concrets : une intrusion dans nos systèmes militaires pourrait compromettre des plans opérationnels ou d’armement, accéder à des données de surveillance et les exfiltrer vers des puissances étrangères.
Les troupes ont-elles failli ? Le danger a-t-il été minimisé ? Les vulnérabilités informatiques n’apparaissaient-elles pas sur les radars de nos militaires ? Interrogée à ce sujet par Médor, la ministre de la Défense a esquivé ces questions en affirmant que les enjeux de cybersécurité étaient pris très au sérieux par son département et que « le risque était évalué par les experts militaires du domaine ».
Profitant enfin du rétablissement de sa boîte mail fin janvier, le service presse de la Défense nous a indiqué qu’aucune communication supplémentaire n’aurait lieu tant que « la situation ne serait pas revenue à la normale. Nos spécialistes poursuivent leur travail afin de tout remettre sur pied, étape par étape, selon les priorités établies ». Le Service général du renseignement et de sécurité (SGRS), l’homologue militaire de la Sûreté de l’État, poursuit son enquête. Aucune information ne perce pour infirmer le vol potentiel de données sensibles ou déterminer l’origine de l’attaque.
L’armée fonctionne ainsi : en mode boîte noire. Dans un courrier envoyé le 14 décembre à un parlementaire qui l’interpellait sur le nombre de cyberattaques enregistrées, Ludivine Dedonder a néanmoins apporté des éléments plus matériels. Le nombre de cyberattaques connues en Belgique « se limite à moins de dix par an » selon les données du SGRS, écrit la ministre. Un chiffre faible qu’elle doit expliquer par des circonstances particulières : « Le SGRS se concentre principalement sur les réseaux de la Défense » et « ne peut pas fournir de chiffres concrets » sur d’autres systèmes, car la tenue de telles statistiques ne relève pas de sa responsabilité.
Reste à savoir si une entité tient ou non ces comptes… Le Centre pour la cybersécurité de la Belgique (CCB), autorité nationale en charge de la protection informatique, avoue ne pas disposer d’une vue d’ensemble sur les équipements dans les différents services gouvernementaux.
Des cybersoldats belges
Une chose est sûre : « Il devient de plus en plus difficile de détecter et de prévenir de telles cyberattaques. En conséquence, l’activité réelle des acteurs de la menace est beaucoup plus importante que ne le montrent les statistiques », stipule le plan stratégique 2021-2025 du CCB.
« Nos capacités sont encore insuffisantes », avait déploré en juin 2021 le groupe d’experts indépendants mandaté par la ministre pour actualiser la vision stratégique militaire de la Belgique et la projeter à l’horizon 2030. « La Défense belge doit être en mesure de jouer son rôle dans tous les domaines, en ce compris le cyber et l’information. » Emmenés par le colonel Eric Kalajzic, ancien numéro 2 du SGRS et directeur de l’Institut royal supérieur de défense, ces analystes ont souligné l’évolution croissante de la menace cyber (cybercriminels, hacktivistes, cyberterroristes).
Voilà pourquoi la ministre de la Défense a pour grande mission, d’ici à la fin de la législature en 2024, de doter le corps d’armée d’une division dédiée au cyberespace, cinquième composante à part entière aux côtés des traditionnelles Air, Marine, Médicale et Terre. « C’est une nécessité », précise-t-elle. Une approche à l’américaine, comme pour mieux marcher dans les pas de l’OTAN, qui prévoit de dépenser plusieurs centaines de millions d’euros dans les capacités de cyberdéfense au cours des prochaines années. Et qui a ouvert son Centre des cyberopérations à Mons en 2020.
Mettre sur pied une cyberarmée dans un pays où le ministère de la Défense s’est retrouvé sans e-mails pendant d’interminables semaines ne relève-t-il pas de la science-fiction ? Le scénario plus probable est que la constitution de cette nouvelle composante sera un processus lent, pour ne pas dire paresseux. Aucune grande avancée ne se trouve projetée avant un an, au plus tôt. La ministre Dedonder vise d’abord une étape intermédiaire, « avant la fin de 2022 », celle de l’installation d’un cybercommandement. C’est-à-dire la direction et les premiers membres de l’état-major de la nouvelle composante.
« Ce cybercommandement permettra de garantir à partir de 2023 le renforcement des missions du SGRS dans le cyberespace », précise Ludivine Dedonder. Alors que tout se développe à une vitesse effrénée dans le cyberespace, la ministre de la Défense semble vouloir prendre le temps.
Omerta
Partant de cette militarisation du Web et des attaques touchant notre pays, Médor a voulu dresser un état des lieux et s’est tourné vers les autorités compétentes en matière de cybersécurité. La première étant… le Premier ministre, en ses qualités de chef du gouvernement et garant des institutions.
Malheureusement, malgré plusieurs contacts avec son cabinet ou le SPF Chancellerie, Alexander De Croo (Open Vld) n’a émis aucun commentaire.
On espérait mieux de l’ancien ministre de l’Agenda numérique au sein des gouvernements Michel I et II (2014-2019). De Croo y portait alors son projet de Digital Belgium, un plan d’action politique pour numériser les pouvoirs publics et toute interaction avec le citoyen. Et comme la numérisation allait être davantage poussée, la cybersécurité devrait suivre.
Désormais, le Premier engage d’ailleurs la responsabilité de tout l’exécutif fédéral dans cette cyberlutte. « Une attention prioritaire sera accordée en matière de cybersécurité », affirme-t-il en préambule de sa note d’orientation politique pour 2022. Les effets d’annonce abondent ensuite dans ce sens – les détails moins. « 78 millions d’euros supplémentaires vont être investis pour se protéger des cybermenaces », scandait dans certains journaux Alexander De Croo au début du mois janvier dernier. Le Premier lésine rarement sur les superlatifs pour encenser sa bonne gouvernance, mais se montre soigneusement flou dès que parlementaires ou journalistes requièrent des précisions sur l’impact réel d’un incident cyber, qu’il ait eu lieu à la Défense ou au SPF Intérieur.
Même silence du côté du SPF Stratégie et Appui (dites « SPF Bosa »), dont l’une des fonctions comporte le soutien IT (Information Technology) du gouvernement et des organisations fédérales, via la direction générale Transformation digitale. « Veuillez contacter le Centre pour la cybersécurité Belgique », nous réplique-t-on. Un phénomène de mutisme visiblement contagieux puisque, sur les 46 organes, responsables et fournisseurs officiels contactés, seuls quelques-uns ont daigné livrer des explications sur les cyberattaques subies récemment par l’État et la réponse qui leur a été réservée.
Pour la bonne cause
Les preuves factuelles ne servent pas plus à délier les langues officielles. Un document du cabinet du ministre de la Santé publique, Frank Vandenbroucke (Vooruit), mentionne un préjudice financier de 2 millions d’euros à charge de l’Office national de sécurité sociale (ONSS). En cause : une cyberattaque ayant permis de détourner pendant des mois le système des aides et des primes Covid pour inciter des personnes à communiquer des données personnelles et bancaires.
Contacté plusieurs fois, l’entourage du ministre n’a pas donné suite à nos demandes. Ledit document déplore pourtant une hausse du nombre de hameçonnages ainsi qu’un degré de sophistication plus élevé.
Depuis sa reprise de fonction, Frank Vandenbroucke semble minimiser l’urgence cyber. « Il y a un certain nombre d’hôpitaux qui, malheureusement, savent maintenant très précisément ce qu’est une cyberatta-que », avait-il déclaré en octobre dernier lors du congrès de l’Association belge des hôpitaux. Comme si « savoir » voulait dire être automatiquement préparé à la prochaine attaque. On se souvient du Centre hospitalier de Wallonie picarde (CHwapi), grippé en janvier 2021 par un ransomware, un logiciel criminel bloquant les données et les structures jusqu’au versement d’une rançon. Conséquence pour l’hôpital qui a refusé de satisfaire les exigences des cyberattaquants : des millions d’euros perdus pour remettre l’infrastructure et les données en l’état.
En réaction, l’INAMI mène actuellement un projet pour tester la résistance de six hôpitaux aux cyberattaques. Pour ce faire, l’administration de la santé publique s’est entourée de hackers éthiques, des pirates professionnels qui mènent la chasse aux failles dans les systèmes informatiques.
Des « bénévoles snobés »
Jasper (nom d’emprunt), autodidacte du piratage, biberonné aux tutos sur YouTube, complète modestement ses fins de mois avec des « primes à l’intrusion ». Pendant ses temps libres, ce quarantenaire épluche les programmes de bug bounty, sorte de défis IT lancés par des entreprises privées afin de tester leur sécurité.
S’il n’a pas encore de grands faits d’armes à son actif ni gagné une récompense à cinq ou six zéros pour avoir levé un lièvre dans le code des géants de la tech, Jasper a aussi un « péché mignon » : mettre à l’épreuve les grosses bases de données à caractère personnel des administrations publiques.
« C’est risqué parce que le CCB sous-entend qu’on peut tenter de pénétrer certaines organisations, mais, selon le Code pénal, si on réussit, c’est direction la prison. »
Jasper ne s’est pas laissé impressionner et a parfois réussi à repérer des faiblesses dans certains systèmes IT de l’État. Il s’est empressé de les soumettre à des membres de sa communauté « plus calés », qui ont expertisé et confirmé ses découvertes. À chaque fois, il partage ses infos avec les agences de l’État en charge de ces questions : Computer Security Incident Response Team (CSIRT), Computer Emergency Response Team (CERT) ou équivalents. Qu’importe l’acronyme, le résultat est toujours le même : rien.
Tout au plus, un mail automatique le remercie virtuellement d’avoir porté à l’attention des services un problème qui a prétendument « déjà été résolu ». Sauf que la faille met parfois des mois à être repérée et réparée.
En attendant, à la DG Transformation digitale du SPF Bosa, on préfère éviter les hackers éthiques, craignant des problèmes de responsabilité en cas, par exemple, d’abus lors de l’exécution de tests de pénétration. Vingt-huit départements du gouvernement fédéral ont plutôt fait appel, via un marché public, à un bureau de conseil.
À la merci…
Mais quel est l’état de nos équipements informatiques, en fait ? « Plus de 70 000 systèmes sont vulnérables en Belgique », avait indiqué en octobre dernier Miguel De Bruycker, le directeur du Centre pour la cybersécurité de la Belgique, lors du webinaire trimestriel sur la cybermenace. Il s’était bien gardé d’entrer dans le détail quant à la nature des faiblesses ou des structures. Rien que contacter les responsables des systèmes identifiés représente une montagne de boulot. Que doivent se répartir une grosse dizaine de collaborateurs du Centre, en attendant que les 25 postes ouverts soient attribués.
Rappelons-nous le hack massif de Microsoft Exchange en mars 2021. Cet événement était tout sauf anodin pour cette solution du géant informatique américain, mondialement utilisée pour faire fonctionner les messageries des organisations, des entreprises, mais également des services gouvernementaux – y compris en Belgique.
Du SPF Intérieur à la police fédérale, l’architecture informatique de notre pays l’intègre à tous niveaux. Médor sait d’ailleurs de bonne source que Microsoft a contacté l’armée belge pour protéger ses serveurs concernés par le piratage des serveurs Exchange.
Au total, le CCB a pu avertir plus de 1 000 entreprises belges potentiellement affectées. Le bras cyber du gouvernement a également pu confirmer des intrusions sur 370 systèmes, soit autant de possibilités de contrôle à distance, pour installer des ransomwares par exemple. « Cela montre que la cybersécurité à 100 % est une illusion. N’importe qui, n’importe quelle organisation, n’importe quel gouvernement peut être une victime », contextualise Katrien Eggers, responsable de la communication du CCB.
Lacunes, carences, inefficacité
Dans cette tentative d’établir la « cyber-salubrité » de l’État, une institution peu suivie apporte un éclairage révélateur : le Comité d’audit de l’administration fédérale (CAAF). Cet organe indépendant de contrôle a pour mission d’assurer la bonne gouvernance du service public. Installé en avril 2010, au terme de dix années de gestation politique laborieuse, il est malmené depuis lors par les décideurs successifs.
Et pour cause, toute la mécanique d’audit de l’administration fédérale accusait « une efficacité douteuse, voire contre-productive », alerta très tôt le professeur Michel J. De Samblanx, premier président du CAAF. Un acteur historique qui démissionna deux ans avant l’échéance de son mandat.
Son successeur n’eut d’autre choix, face au manque de collaboration des services fédéraux, que de souligner les difficultés de mener un « reality check indépendant » pour offrir l’assurance raisonnable du bon fonctionnement de l’État. Il faudra attendre plusieurs années avant de voir l’enjeu cyber effleuré par le CAAF, les audits spécialisés dans le domaine étant à peine mentionnés vers 2014. La notion de « gouvernance IT » n’apparaît, elle, qu’en 2019, et avec elle les premiers rapports d’audit relatifs à la sécurité informatique.
Au fil des ans, le Comité d’audit fédéral n’a cessé de partager ses préoccupations quant aux faiblesses persistantes. En 2020, Werner Van Minnebruggen, actuel président du CAAF, épinglait « le manque fréquent de gouvernance » dans certains domaines, notamment la gestion des risques et les technologies de l’information et de la communication (TIC), ainsi que le manque d’attention consacrée à une « véritable politique de sécurité ».
Dans son dernier rapport publié avec plus de quatre mois de retard en janvier 2022, le CAAF a encore dû réexprimer ses inquiétudes. Le président s’y inquiétait des « nombreuses lacunes entachant la gouvernance à plusieurs niveaux, particulièrement en ce qui concerne la gestion des risques, la gestion financière et la gestion informatique ».
Contacté par Médor, le Comité d’audit de l’administration fédérale, qui dépend du Premier ministre, n’a pas fourni de compléments d’information.
Un enjeu prioritaire ?
« Le risque a toujours été élevé. Des vulnérabilités dans les logiciels et outils utilisés dans les structures de l’État existent depuis longtemps », remet en contexte le professeur Olivier Markowitch, doyen de la faculté des sciences de l’Université libre de Bruxelles. Ce membre du laboratoire de recherche QualSec, spécialiste en protocoles cryptographiques et sécurité des réseaux informatiques, souligne l’action conjuguée du CCB, du Computer Emergency Response Team – ainsi que d’autres organes étatiques ou même de l’armée qui peuvent intervenir. « Cela laisse à penser que l’État se donne des moyens de gérer ces situations, même s’il arrive qu’une attaque fonctionne et paralyse l’un ou l’autre service. »
L’exécutif fédéral mesure-t-il toutes les implications de la nouvelle réalité cybersécuritaire ? « Je ne pourrais le dire précisément », concède le professeur Olivier Markowitch, forcé de constater l’écart important entre la maturité des systèmes informatiques dans le privé et dans le public. « Les technologies des systèmes IT du public semblent parfois encore anciennes et peuvent donc présenter des vulnérabilités bien connues. »
« Tous les services de l’État n’ont pas la même attitude ni ne mobilisent les mêmes moyens. Mais, de là où je suis, je n’ai pas l’impression que cela soit pris suffisamment comme un enjeu prioritaire », témoigne Olivier Markowitch.
Moyens inconséquents
Dans cette équation à multiples inconnues que constitue la cybergouvernance belge, on peut penser que tous les moyens possibles ne sont pas mis en place.
« On observe que dans de nombreux pays – la France, l’Allemagne et bien sûr les pays anglo-saxons – les moyens mis dans les services de cybersécurité sont sans commune mesure avec ce qui se fait chez nous. » Les investissements dans le cyber se chiffrent à l’étranger en milliards d’euros, notamment pour soutenir la relance post-Covid.
La situation ne serait pas particulièrement plus alarmante en Belgique que dans d’autres pays, mais redoubler d’efforts semble tout à fait indispensable.
« Les risques croissent, les dangers deviennent plus nombreux, les cyberattaques et cyberguerres vont être plus fréquentes, il faut se préparer, il faut y consacrer des moyens considérables, il faut identifier et former des personnes qui comprennent de quoi il est question, qui comprennent les enjeux techniques et il faut absolument qu’elles soient entendues », plaide Olivier Markowitch. Et de rappeler, s’il le fallait, que « nous formons des spécialistes en cybersécurité dans notre pays ». Encore faut-il pour attirer ces talents que le secteur public propose des conditions de travail décentes et un défi professionnel qui puissent soutenir la comparaison avec les postes à pourvoir dans le privé.
