Cyberattaque d’une vaste ampleur en Belgique : des "suspicions d’espionnage" coordonné par un Etat étranger

Le SPF Intérieur a découvert au mois de mars dernier qu’il avait été la cible "d’une cyberattaque complexe, sophistiquée et ciblée", selon nos informations. Une enquête judiciaire est menée par le parquet fédéral et un juge d’instruction de Bruxelles pour tenter de connaître l’origine de l’action. Une source proche des investigations en cours confie à la RTBF que l’offensive était d’une telle taille "qu’elle n’a pu avoir été menée et coordonnée que par un Etat étranger".

Pour en savoir plus sur la nature exacte de cette attaque, nous nous sommes tournés vers le Centre pour la Cyber sécurité en Belgique. Le CCB confirme l’importance et la complexité élevée de l’attaque. "En mars 2021, les cyber-experts du CCB ont trouvé des traces de manipulations suspectes remontant à avril 2019. Il s’agit d’une attaque très complexe, pour laquelle les pirates ont eu recours à des techniques destinées précisément à s’infiltrer dans un réseau, sans être détectés et à y rester le plus longtemps possible. La complexité de cette attaque indique qu’il s’agit d’un assaillant avancé et compétent qui dispose de cyber-capacités étendues. Il se pourrait que ce soit à des fins d’espionnage."

Dossier sensible ! Le SPF Intérieur assure en effet des missions comme la sécurité sur le territoire belge (ordre public, secours à la population, gestion de crise) ou encore l’enregistrement et l’identification des personnes (registre national, documents d’identité). Mais l’enquête en cours empêche les services d’en dire davantage. "La question de savoir si des données ont fuité et lesquelles fait partie de l’enquête judiciaire. Pour éviter de lui nuire, nous ne pouvons révéler aucun détail", répond le CCB quand on lui pose la question.

Des suspicions d’espionnage

Olivier Maerens, directeur de la communication du SPF Intérieur, confirme quant à lui que "la détermination et le caractère discret de cet acteur éveillent des suspicions d’espionnage". Il souligne toutefois que les pirates n’ont pas réussi à atteindre des informations classifiées. En effet, celles-ci se trouvent sur des serveurs d’un niveau de sécurité supérieur.

Selon les éléments récoltés par la RTBF, les données relatives au registre national et aux documents d’identité n’auraient pas non plus été compromises. En revanche, les pirates informatiques pourraient avoir eu accès à des courriels échangés entre travailleurs du SPF Intérieur. Pour l’heure, on ne sait pas si d’autres services publics fédéraux ont été touchés. Mais le centre pour la cybersécurité sécurité précise : "Il n’y a apparemment aucune autre victime, aucune notification de problèmes."

Une attaque très sophistiquée et discrète

Le 4 mai, une autre attaque de grande ampleur avait visé le réseau Belnet qui connecte les établissements d’enseignement supérieurs et universitaires, les centres de recherche et les administrations publiques. Cette attaque avait notamment provoqué l’annulation de réunions de commission à la Chambre. Les deux offensives sont-elles liées ? Rien ne permet ni de l’affirmer, ni de l’exclure à ce stade.


►►► A lire aussi : La Belgique se dote d’une stratégie contre les cybermenaces


Dans le cas de Belnet, il s’agissait d’une attaque DDoS (ou attaque par déni de service) par laquelle une gigantesque quantité de données sont envoyées sur des serveurs jusqu’à ce qu’ils soient surchargés.

En revanche, l’offensive qui a touché le SPF Intérieur était d’une autre nature et d’une sophistication plus grande encore. Elle ne visait ni la saturation de sites internet, ni une demande de rançon.

C’est cela qui fait dire au SPF Intérieur que "la complexité de cette attaque indique un acteur qui dispose de cyber-capacités et de moyens étendus. Les auteurs ont agi de façon ciblée, ce qui fait penser à de l’espionnage".

Le CCB ajoute de son côté que "l’enquête qui est toujours en cours doit nous permettre de comprendre comment les assaillants ont pu s’introduire dans le système. Nous ne pouvons pas affirmer que nous trouverons le modus operandi exact, étant donné la complexité de l’attaque. L’attribution d’une cyberattaque est très difficile. Toutes les traces ont été remises au parquet. Ces traces font partie d’une enquête plus approfondie."

Toute l’architecture informatique révisée : un travail "colossal"

L’attaque informatique a été découverte à la suite du signalement par Microsoft d’une série de vulnérabilités dans ses serveurs Exchange. Le SPF Intérieur a immédiatement appliqué les mises à jour recommandées pour protéger ses systèmes mais il a aussi décidé de pousser plus loin l’analyse avec l’assistance du centre belge pour la cybersécurité (CCB).

C’est au cours de cette enquête approfondie que les experts du CCB ont retrouvé des pistes d’actes malveillants remontant au mois d’avril 2019. "Des actions urgentes ont été entreprises", indique Olivier Maerens : "l’accès de l’attaquant a été stoppé, les malwares ont été supprimés et l’information importante a été mise en sécurité". Le centre de crise national, l’autorité de protection des données, la police fédérale, le parquet fédéral, la sûreté de l’Etat, le SGRS (renseignement militaire) et le SPF Affaires étrangères ont été prévenus.

Les faits révélés, ce mardi par la RTBF, étaient jusqu’ici tenus secrets afin de ne pas exposer au grand jour une vulnérabilité que certains individus, groupes ou Etats auraient pu exploiter de manière mal intentionnée.


►►► A lire aussi : Intelligence artificielle, biotechnologies, data… Le monde de demain sera technologique ou ne sera pas


Depuis lors, outre les actions urgentes menées pour stopper l’attaque, toute l’architecture de sécurité informatique du SPF Intérieur a été revue afin de se prémunir contre une offensive du même type. Ce travail, "colossal" selon une personne impliquée, a duré plusieurs semaines.

L’attaque d’un niveau rarement connu en Belgique était un des sujets au cœur du Conseil National de Sécurité qui s’est tenu, à huis clos, le jeudi 20 mai. Ce CNS a validé les détails d’une stratégie visant à placer la Belgique au rang des pays les moins vulnérables d’Europe. Mais ce rang de "bon élève" n’enlève rien aux défis primordiaux qui sont au cœur même de la sécurité informatique de notre pays. "Tous les types d’organisations sont victimes de cyberattaques, car la menace se complexifie en permanence et les cybercriminels sont toujours plus astucieux et motivés. C’est la raison pour laquelle la Belgique voulant conserver son niveau de cybersécurité et consciente de la nécessité d’investir pour continuer à se protéger et à publier une stratégie cyber et de se doter des moyens adéquats, avec tous les acteurs concernés", explique le centre pour la cybersécurité. Ajoutant même qu’absolument tous les pays, y compris ceux qui déploient des moyens bien plus conséquents, sont victimes de cyberattaques.

JT du 25/05/2021 - Cyberattaque : quand l'Etat belge doit contrer l'ennemi

Newsletter info

Recevez chaque matin l’essentiel de l'actualité.

OK