Les députés français sont-ils assez protégés contre les attaques informatiques ?
Les députés français sont-ils assez protégés contre les attaques informatiques ?
Par Martin Untersinger
Alors que les députés britanniques ont été visés par des pirates en juin, les nouveaux parlementaires français n’ont pas reçu d’instructions précises. Le premier questeur de l’Assemblée compte mettre en place une « questure numérique » chargée de ces questions.
En raison des informations importantes dont ils disposent, les députés peuvent représenter des cibles de choix pour les pirates informatiques. | « LE MONDE »
A la mi-juin, des pirates informatiques s’en sont pris aux boîtes e-mails des députés britanniques, en tentant d’en contourner les mots de passe. Les pirates seraient parvenus à pénétrer dans « un peu moins de 90 » boîtes e-mails, selon les services du Parlement.
Ce n’est pas la première fois qu’un Parlement européen est attaqué. En mai 2015, tout le système informatique du Bundestag avait été déconnecté en urgence pour parer une attaque sophistiquée. Les services de l’Etat allemand ont découvert que ces attaquants avaient pillé des informations appartenant à 16 députés allemands, dont le vice-président de l’institution et un membre de la commission du renseignement. Ce même groupe – APT28 – est considéré par les experts comme responsable du piratage du Parti démocrate, aux Etats-Unis en 2016, que les autorités américaines ont imputé au Kremlin au début de l’année 2017.
Le Parlement français a-t-il déjà été attaqué ? « L’Assemblée nationale a été confrontée à quelques agressions ponctuelles sans conséquence majeure pour son système d’informations », explique-t-on au Palais-Bourbon, sans plus de précisions.
Les députés, des cibles de choix
Les parlementaires sont des cibles tentantes en matière de sécurité informatique. D’abord, ils disposent d’informations importantes (sur la fabrique de la loi, les groupes d’influence, la vie politique…) qui peuvent intéresser un grand nombre d’acteurs. D’autant plus que les attaques destinées non pas à de l’espionnage classique, mais à des opérations de déstabilisation ont commencé à se multiplier ces dernières années.
Ensuite, les députés communiquent beaucoup, en permanence, dans leur circonscription et à l’Assemblée : leurs moyens de communication (portable, boîtes e-mails) doivent être accessibles partout et à toute heure. Enfin, chaque député dispose d’un ou plusieurs collaborateurs qui doivent eux aussi, parfois, avoir accès aux messages de leurs députés.
La boîte e-mails fait figure de principal point faible : c’est elle qui a été visée lors des opérations contre les parlements anglais et allemands. Une protection simple et efficace existe cependant contre les méthodes habituelles de piratage d’une boîte e-mails : la double authentification, c’est-à-dire l’ajout, en plus du mot de passe, d’un autre critère pour autoriser la connexion (code sur une application ou par SMS, clé à brancher sur l’ordinateur…).
La double authentification n’est pas activée par défaut pour les boîtes e-mails des députés français, à l’exception des cas les plus « sensibles », précisent au Monde les services de l’Assemblée, sans plus de détails. Des précautions standards sont prises au sujet des mots de passe, ainsi qu’au sujet de l’accès à la boîte e-mails des députés par leurs collaborateurs. Cet accès se fait sur demande du député, et avec des identifiants distincts – et non avec ceux du député.
De nombreux députés utilisent des adresses personnelles
Cette situation est complexe car ces précautions ne s’appliquent qu’aux comptes officiels des députés, ceux qui finissent par « @assemblee-nationale.fr ». Or, de nombreux députés utilisent en complément une adresse tierce, chez un fournisseur privé. Les services de l’Assemblée n’ont pas la main sur ce type d’adresses e-mails, et ne peuvent pas y vérifier l’application des bonnes pratiques, encore moins y détecter une éventuelle attaque. Ce type de compte « n’est pas interdit, mais déconseillé », fait savoir le service chargé de la sécurité informatique du Palais-Bourbon.
Selon notre décompte, une centaine de députés de la nouvelle législature indiquent sur leur page officielle une adresse Orange ou Gmail. Quinze d’entre eux font partie de la sensible commission de la défense nationale et des forces armées. Ce chiffre ne prend pas en compte ceux qui fournissent des adresses liées par exemple à leur site personnel (contact@nomdudéputé.fr). Selon nos constatations, ils sont aussi plusieurs dizaines. Les responsables de la sécurité informatique de l’Assemblée devraient bientôt se rapprocher des députés concernés.
En matière de défense des téléphones portables, tablettes ou au sujet des périphériques externes (clés USB par exemple), autant de vulnérabilités potentielles et de canaux pour pénétrer sur les réseaux du Palais-Bourbon, les services de l’Assemblée ne formulent cependant que des recommandations.
Un groupe d’étude sur la sécurité informatique à l’Assemblée
Ces dernières figurent dans un document d’une vingtaine de pages daté de janvier 2017 et accessible par les députés sur le réseau interne de l’Assemblée nationale. A l’Agence nationale de la sécurité des systèmes d’information (Anssi), le garde du corps numérique de l’Etat, on fait savoir qu’un nouveau guide a été finalisé ces dernières semaines. Ce guide donne ainsi des conseils pour sécuriser son smartphone, choisir un bon mot de passe, séparer son activité de député de ses activités privées…
A l’heure où nous écrivons ces lignes et outre ce document, les députés nouvellement élus n’ont pas reçu d’instructions ou de sensibilisation directes concernant la sécurité de leurs boîtes e-mails. « Ça va peut-être venir, j’espère qu’il y aura […] une sensibilisation sur les outils mis à disposition », déclare Eric Bothorel (LRM, Côtes-d’Armor), bon connaisseur de la cybersécurité et nouvel arrivant au Palais-Bourbon.
Mais au-delà des services de l’Assemblée, la protection des députés passe… par les députés eux-mêmes. Le chemin reste long selon certains. « J’ai constaté, dépité, que mes collègues parlementaires avaient très peu conscience des enjeux liés aux cybermenaces, je ne crois pas qu’ils soient prêts à se protéger. Il y a trop de comportements à risque qui pourraient être évités si des recommandations étaient fournies et si les députés montraient de la discipline et de la rigueur », estime Eduardo Rihan Cypel, ancien député socialiste familier de ces questions.
« La sensibilisation et la pédagogie sont à mes yeux les armes les plus efficaces contre le risque cyber. Or aujourd’hui, pour les élus comme pour nos concitoyens, ces menaces n’existent pas, on ne les voit pas, on ne les mesure pas. Pourtant, le risque est bien réel et la menace bien présente », explique Florian Bachelier (LRM, Ille-et-Vilaine), premier questeur de l’Assemblée nationale. Ce dernier compte former « en tant que député, un groupe d’étude dédié à la sécurité numérique » et mettre en place « avec le support des services de l’Assemblée en tant que premier questeur, d’une questure numérique », qui sera chargée des questions de sécurité informatique.
Séparation des pouvoirs
La sécurité du Palais-Bourbon pose un autre type de question : l’organisme responsable de la défense des infrastructures régaliennes les plus sensibles, l’Anssi, dépend de Matignon, et donc du pouvoir exécutif. L’incident au Bundestag allemand a « montré l’importance des échanges entre les parlements et l’exécutif », souligne-t-on à l’Assemblée, dont la collaboration avec l’Anssi est régulière.
Cette dernière peut, en cas d’incident ou d’audit, obtenir un accès très profond aux systèmes informatiques, et donc aux données, du pouvoir législatif. Un problème de séparation des pouvoirs qui avait poussé les services du Bundestag, pourtant victimes d’une attaque sophistiquée, à repousser les services de l’organisme fédéral allemand de protection contre les menaces informatiques, de peur que ce dernier n’en profite pour les espionner.
« La séparation des pouvoirs n’est pas remise en cause par cette collaboration, dès lors que l’Assemblée nationale conserve la pleine maîtrise de son système d’information et décide souverainement des mesures qu’elle entend appliquer ou non », estiment les services du Palais-Bourbon. « Nous sommes là pour transmettre des éléments de veille et répondre à des besoins d’audit, mais il est évident que l’Assemblée nationale maîtrise complètement son système », souligne-t-on à l’Anssi.