Le piratage de la Défense belge était prévisible… et évitable?

Les alertes à répétition n’ont pas empêché le ministère de la Défense d’être victime d’une attaque informatique retentissante.

Georges Lekeu
Le piratage de la Défense belge était prévisible… et évitable?
La Défense n’a-t-elle pas entendu les messages d’alerte lancés à l’échelle mondiale? ©Tomasz Zajda – stock.adobe.com

C'est un piratage qui pose de sérieuses questions. Le ministère belge de la Défense essaie de circonscrire une attaque informatique détectée le jeudi 16 décembre 2021. En ligne de mire: l'intrusion de hackers dans le cœur de son réseau informatique truffé de données sensibles. Qui sont-ils? Quels sont les dégâts? "La Défense ne donnera pas d'autres informations à ce stade", dixit le commandant Olivier Séverin, le porte-parole cité par l'agence Belga.

Le hic, et de taille, c’est que cette offensive était prévisible, redoutée, annoncée par le monde de la cybersécurité depuis le jeudi 9 décembre 2021. Nom de code: Log4j pour le petit bout de programme vulnérable, Log4Shell pour la procédure qui exploite cette faille à des fins malveillantes. Dans le jargon, on parle d’une vulnérabilité critique dont tire parti un exploit informatique.

Une alerte chinoise

Tout démarre le 24 novembre 2021, selon un document récapitulatif préparé par le Centre pour la Cybersécurité Belgique (CCB). Un ingénieur informatique du groupe chinois Alibaba découvre une vulnérabilité critique dans Log4j et alerte son éditeur Apache Software Foundation. Ce petit module serait utilisé par des centaines de millions de sites web et de serveurs informatiques dans le monde.

Les premières traces de l’exploitation de cette vulnérabilité sont repérées le 1er décembre 2021. Alors que c’est le branle-bas de combat en coulisses pour trouver des rustines, l’existence de la vulnérabilité critique de Log4j et de l’exploit Log4Shell est révélée publiquement le 9 décembre 2021.

C’est la panique générale. Une course contre la montre s’engage. Les groupes de hackers qui ne connaissaient pas la manœuvre se jettent dessus. Les responsables de réseaux informatiques suent sang et eau pour patcher (corriger) et protéger leurs infrastructures qui font appel au software Log4j.

La Belgique s’inquiète

Le 10 décembre 2021, les voyants rouges s'allument en Belgique, l'usage de Log4Shell est officiellement observé sur notre territoire. Les alertes et les ébauches de solution à appliquer d'urgence se multiplient. Le 12 décembre 2021, la Computer Emergency Response Team fédérale (CERT. be) diffuse un avertissement circonstancié. Le 13 décembre 2021, rebelote. "Les entreprises qui utilisent le logiciel apache Log4j doivent installer de toute urgence des mises à jour", insiste le CERT.

Toujours le 13 décembre 2021, Jennifer Easterly, la directrice de la CISA, l'agence américaine de la cybersécurité et de la sécurité des infrastructures, prend un ton alarmiste en conférence de presse. "C'est l'une des failles les plus sérieuses, voire la plus sérieuse, à laquelle j'ai été confrontée depuis le début de ma carrière."

Trois jours plus tard, la guillotine de Log4j et de Log4Shell tombe sur le réseau informatique du ministère belge de la Défense, malgré la campagne d’avertissement sans précédent à l’échelle nationale et internationale.

Déficit de proactivité?

"La raison probable pour laquelle la Défense s'est fait hacker, c'est parce qu'elle n'a pas patché ses installations au moment où il le fallait, c'est-à-dire quand la vulnérabilité critique est devenue publique, analyse le Dr Xavier Bellekens, expert en cybersécurité. Il y a eu à mon sens peu ou pas de proactivité, alors que l'incident aurait pu être évité. Comme cette faille a été rendue publique et qu'elle affecte un nombre énorme de logiciels, beaucoup de groupes de hackers s'en sont emparés pour lancer des attaques vers tout ce qui bougeait, tout ce qui pouvait être vulnérable."

Les plus consultés depuis 24h