Le 18 décembre 2023, l’Agence nationale de la sécurité des systèmes d’information (Anssi) a publié un état de la menace ciblant le secteur des télécommunications (1).
Ce rapport montre que de multiples menaces planent sur la disponibilité, la confidentialité et l’intégrité des systèmes d’information supportant les réseaux des télécommunications.
Le secteur des télécommunications peut se diviser en plusieurs grandes familles et intègre à cet égard une typologie d’acteurs variée, allant des opérateurs de communications électroniques aux équipementiers, en passant par les hébergeurs web ou les points d’interconnexion Internet.
Contexte du rapport faisant état de la menace ciblant le secteur des télécoms
Etat de la menace ciblant le secteur des télécommunications
Le 12 février 2018, le secrétariat général de la défense et de la sécurité nationale (SGDSN) a publié une revue stratégique de cyberdéfense. Organisée en trois parties, cette revue a dressé un panorama de la cybermenace, a formulé des propositions d’amélioration de la cyberdéfense de la Nation et a ouvert des perspectives visant à améliorer la cybersécurité de la société française.
A ce titre, le secteur des télécommunications a été identifié comme un secteur « supercritique » dans la mesure où une attaque réussie contre un ou plusieurs acteurs du secteur aurait des conséquences immédiates et systémiques sur l’ensemble ou une large partie des secteurs d’importance vitale.
Le centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques a d’ailleurs republié ce rapport sur son site institutionnel (1).
En effet, les enjeux du secteur en matière de sécurité et de défense nationale sont en premier lieu la confidentialité (protection du secret des correspondances) et la disponibilité des communications, notamment pour les communications d’urgence.
Cependant, la préoccupation majeure des organisations du secteur des télécommunications est la disponibilité de leurs services, parfois au détriment de la confidentialité des données et de l’intégrité des systèmes d’information.
Ces organisations du secteur des télécommunications ont alors tendance à minimiser certains aspects de leur sécurité, en se reposant sur la pratique de la « sécurité par l’obscurité » (2).
Constat du rapport faisant état de la menace ciblant le secteur des télécommunications
Etat de la menace ciblant le secteur des télécommunications
Cependant, pour ce secteur massivement ciblé par des acteurs cybercriminels, la pratique de la « sécurité par l’obscurité » est insuffisante.
La taille importante des réseaux des opérateurs, leur hétérogénéité suite à l’intégration continue de nouvelles entités et l’importante dette technique accumulée compliquent leur sécurisation et rend plus cruciale encore une prise en compte des menaces ciblant ce secteur.
En effet, durant les trois dernières années, l’Anssi a été informée de plus de 150 événements de sécurité, dont près de 50 incidents traités par l’agence, affectant des entités du secteur des télécommunications (3).
L’Anssi précise d’ailleurs que : « les deux tiers des événements recensés touchaient des entreprises stratégiques du secteur, dont une très grande part concerne des opérateurs régulés. Certains incidents ont entraîné un engagement opérationnel important de la part de l’ANSSI. ».
Attaques ciblant le secteur des télécommunications
Etat de la menace ciblant le secteur des télécommunications
- Attaques à finalité d’espionnage
La principale menace qui préoccupe le secteur des télécommunications est l’espionnage, se manifestant principalement par l’exfiltration de données en grande quantité par divers acteurs stratégiques.
L’Anssi a constaté, ces dernières années, une préoccupation croissante concernant les compromissions touchant les équipements, notamment les routeurs au cœur des réseaux des opérateurs. Ces attaques sophistiquées sont souvent menées sur une longue période et difficilement détectables. Ces agressions compromettent l’intégrité des réseaux des opérateurs. Elles permettent aux attaquants d’accéder directement aux communications d’entités stratégiques et d’individus, impactant ainsi significativement la confidentialité des données échangées.
Les équipements réseau, tels que les routeurs domestiques utilisés par des entités de moindre envergure, font également l’objet de ciblage. Les attaquants les utilisent pour établir des réseaux d’anonymisation en vue de mener des attaques sophistiquées. Enfin, les équipements satellitaires sont détournés par certains groupes associés à des modes opératoires liés à la Russie, selon des sources ouvertes. Ces groupes utilisent ces équipements pour mener des attaques d’espionnage contre des cibles à travers le monde.
- Attaques à finalité de déstabilisation
Les principales attaques recensées dans les trois dernières années sont le fait d’hacktivistes. Ils pratiquent du chantage au déni de service distribué (plus communément nommé attaque DDoS) et de l’exposition de données personnelles associés à des revendications politiques.
Cependant, les opérations de plus grande envergure et à des fins de sabotage restent une menace majeure du secteur.
Par exemple, l’attaque qui a ciblé le réseau de communication satellitaire KA-SAT dans la nuit de l’invasion russe en Ukraine en février 2022 a montré l’impact massif d’une opération de sabotage. Attribuée par l’Union européenne et ses États-membres à la Russie le 10 mai 2022, cette attaque a mis hors service plusieurs dizaines de milliers de modems dont un grand nombre en France.
Cette menace de sabotage s’ajoute aux destructions physiques régulièrement constatées dans le secteur, qu’il s’agisse de coupures intentionnelles de câbles ou d’une destruction physique d’infrastructures dans un contexte de conflit armé.
- Attaques à finalité lucrative
Un aspect significatif de ces attaques concerne la fraude aux communications engendrant des préjudices financiers et d’image considérables. Ces attaques visent autant les opérateurs, en particulier les opérateurs de téléphonie mobile, que leurs clients.
Les opérateurs de télécommunications font également l’objet d’attaques opportunistes ciblant les vastes quantités de données personnelles qu’ils détiennent. Les données ainsi extraites sont revendues par des cybercriminels ou utilisées dans des attaques de ransomware, impliquant un chantage à la divulgation de données.
Parallèlement aux attaques de ransomware et plus fréquemment, les chantages par attaque DDoS perturbent la disponibilité des services des opérateurs.
Enfin, les compromissions menées par des individus internes aux organisations du secteur figurent également parmi les attaques rapportées à l’Anssi. Ces incidents peuvent entraîner l’exfiltration de données personnelles ou le déploiement de logiciels malveillants au sein des systèmes d’information des opérateurs, entraînant ainsi d’importants dommages.
Recommandations faites au le secteur des télécommunications
Etat de la menace ciblant le secteur des télécommunications
L’Anssi a émis 35 recommandations visant à éclairer les opérateurs de communications électroniques ainsi que leurs clients professionnels, afin de bâtir une défense et à se prémunir des menaces précédemment évoquées.
Ces recommandations portent sur les thèmes suivants :
- la sensibilisation ;
- les postes de travail ;
- l’infrastructure ;
- l’administration du système d’information ;
- le maintien en conditions de sécurité ;
- la journalisation et la détection.
Cependant, ces recommandations ne sont ni suffisantes ni exhaustives, et doivent être, comme le précise l’Anssi elle-même, « adaptées et complétées dans le cadre du contexte opérationnel et fonctionnel du système d’information considéré ».
(1) État de la menace ciblant le secteur des télécommunications, CERTFR-2023-CTI-010 du 18-12-2023.
(2) Le principe de la « sécurité par l’obscurité» repose sur la non-divulgation d’informations concernant le fonctionnement, la structure ou les technologies utilisées par une organisation, afin d’en assurer la sécurité.
(3) Il est à noter que le nombre d’incidents portés à la connaissance de l’ANSSI ne reflète pas nécessairement de manière exacte la réalité de la menace touchant ce secteur. En dehors des déclarations obligatoires d’incidents affectant des Systèmes d’Information d’Importance Vitale (SIIV), les opérateurs ne rapportent en général que les cas les plus graves ou nécessitant l’assistance de l’agence.
Frédéric Forster
Avocat directeur du Pôle Constructeurs informatiques & Télécoms
Carl Buffière
Consultant
Pour en apprendre davantage
À l'aube d'une ère où l'intelligence artificielle (IA) est en passe de devenir un compagnon quotidien...
Les intelligences artificielles génératives telles que ChatGPT constituent une révolution pour les professionnels du droit...