Comme le souligne fort bien Daniel Ventre, une attaque sur une infrastructure gouvernementale n'a rien de surprenant. Bien au contraire. Ils ont toujours été une cible privilégiée des kiddies en mal de reconnaissance, des curieux de tout poil ou encore de ceux qu'on appelle les hacktivistes, au même titre que les réseaux militaires ou lus largement de tout ce qui rappelle l'autorité de l'État. Et partant de là, l'éventualité qu'une de ces attaques puisse passer à travers les mailles du filet devient presque une évidence, et la question tient alors surtout du "quand".

L'étonnement tient très probablement aussi au fait que beaucoup s'imaginent que les réseaux gouvernementaux et militaires bénéficient d'une sécurité inaccessible au commun des mortels. Je ne céderai pas à l'envie de faire une remarque ironique sur cette dernière phrase, mais il serait grand temps de s'apercevoir que ce n'est pas le cas, pour peu que ça ne l'ait jamais été. Ces infrastructures tournent avec les mêmes produits qu'on trouve dans nos entreprises et nos foyers, et sont protégés avec les mêmes technologies. Pas surprenant donc qu'ils puissent se faire compromettre avec les mêmes techniques. C'est d'ailleurs quelque chose qu'évoquait Patrick Pailloux dans son discours de clôture du SSTIC l'an dernier...

Et de fait, la technique utilisée dans le cas présent n'a pas de quoi faire sauter au plafond. D'après ce qu'on peut lire çà et là, il s'agirait de la compromission d'un poste de travail via la messagerie, suivie d'une infection propagée en interne. De l'ultra classique si j'ose dire. L'habituel malware packé pour l'occasion histoire de passer à travers les antivirus agrémenté d'un soupçon de social engineering pour s'attirer les faveurs de l'uilisateur, qui va s'installer gentiment, se répliquer et commencer à exfiltrer vers un site externe tout ce qui ressemble de près ou de loin à des données intéressantes : identifiants, mots de passe, données personnelles, documents, etc.

Le genre de saloperie qui, malgré ce que veut bien en dire la presse, permet difficilement de faire la différence entre une attaque qu'on pourrait qualifier de générique et une attaque ciblée. Entre l'œuvre d'attaquants professionnels très bien préparés ou la prolifération désormais standard d'un botnet collectant des données de manière on ne peut plus opportuniste. Ceci dit, à l'heure qu'il est, l'ANSSI doit avoir une bonne idée sur la question...

On notera avec un amusement non dissimulé que la piste chinoise est déjà évoquée. Pour peu qu'on nous qualifie ça d'acte de cyberguerre, il n'y a qu'un pas. Ce qui, considérant ce qui se passe chez Renault en ce moment, ne manquera pas de faire lever le sourcil...
Dans la mesure où la cible unanimement désignée est l'organisation du G20, on pourra également rapprocher cette affaire de Wikileaks. Le genre de chose qui, paraît-il, dont on ne voulait pas qu'elle se produise en France...
Enfin, le point presse que tient l'ANSSI en ce moment même devrait pouvoir nous éclairer un peu plus sur la question.

Update (8/3/2011) : L'ANSSI a posté aujourd'hui un descriptif de l'attaque qui, bien que vague sur les détails techniques, n'en reste pas moins assez intéressant. Considérant ce qu'on voit passer comme malwares et les informations fournies, j'aurais tendance à voter pour un énième packing de PoisonIvy, grand classique du genre en ce moment.