L’alerte de l’ANSSI sur l’état « supercritique » du secteur des télécommunications

par Alban MARCANTONIO, étudiant du Master 2 Droit des médias électroniques

Ce 18 décembre 2023, l’ANSSI (l’Agence Nationale de la Sécurité des Systèmes d’Information) a publié un rapport sur « l’état de la menace ciblant le secteur des télécommunications ».

Aujourd’hui, alors que le numérique est omniprésent au quotidien, nous sommes confrontés à des cybermenaces. Et le secteur des télécommunications n’échappe pas à cette règle. L’ANSSI définit ce secteur en le découpant en grandes familles d’activités. On distingue : les fournisseurs d’accès à Internet ; les fournisseurs de services de téléphonie ; les fournisseurs de câble de distributions de télécommunications ; les entreprises de câblage et d’infrastructure ; les fournisseurs de services de télécommunications connexes.

Parmi les acteurs concernés par ce rapport, on peut citer des entreprises telles qu’Orange, SFR, Bouygues Telecom en principaux opérateurs de communications électroniques, et Samsung, Nokia, Ericsson en équipementiers. Il existe bien d’autres acteurs privés moins connus, dans des domaines plus spécialisés comme l’installation d’infrastructures numériques, avec OVH, Equinix et autres. Ce rapport se veut alarmant face à l’état des menaces pesant sur le secteur de la télécommunication. En revanche, il propose des recommandations afin de « bâtir une défense et de se prémunir des menaces ».

Les menaces pesant sur le secteur des télécommunications

L’ANSSI met en évidence la gravité de la situation en la qualifiant de « supercritique ». Cela signifie que le secteur des télécommunications est fragilisé à un tel niveau qu’un incident peut engendrer « des conséquences immédiates et systémiques ».

« Le secteur des télécommunications est, à ce titre, identifié comme un secteur « supercritique » dans la mesure où une attaque réussie contre un ou plusieurs acteurs du secteur aurait des conséquences immédiates et systémiques sur l’ensemble ou une large partie des secteurs d’importance vitale [1]. Les enjeux du secteur en matière de sécurité et de défense nationale sont en premier lieu la confidentialité (protection du secret des correspondances) et la disponibilité des communications, notamment pour les communications d’urgence ».

Cependant, les acteurs organisationnels de ce secteur priorisent la disponibilité de leurs services. Cette disponibilité prévaut au « détriment de la confidentialité des données et de l’intégrité des systèmes d’information ». La qualité et la quantité des données transitant dans les différents réseaux font de ce système une proie convoitée des cybercriminels.

Ce rapport émet une alerte sur l’état des menaces quant aux aspects de confidentialité et de disponibilité, et ce, malgré les nombreuses règlementations. En effet, les acteurs du secteur de la télécommunication sont soumis au code des postes et des communications électroniques, au code de la défense, au code pénal et à la directive Network Information Security.

Pourtant, plus de 150 incidents ont été relevés par l’ANSSI au cours de ces trois dernières années. Les deux tiers des incidents concernent les entreprises stratégiques du secteur des télécommunications. De plus, l’ANSSI a été contrainte d’intervenir une cinquantaine de fois sur ces trois années.

L’ANSSI a différencié trois catégories de menaces en fonction de leurs finalités. Ainsi sont différenciées les attaques dans le but d’espionner, les attaques pour déstabiliser et les attaques dans un but purement lucratif. Elles sont toutes préoccupantes pour le secteur de la télécommunication, bien qu’elles aient un ordre d’importance variable quant à leur impact.

Tout d’abord, l’attaque à finalité lucrative représente une menace fréquente pour les différents acteurs du secteur des télécommunications. La fraude aux communications constitue, pour une grande partie, ces attaques. Ainsi, il existe les arnaques par le biais des numéros surtaxés, des usurpations de numéros de téléphones nationaux ou par hameçonnage. Les défauts de sécurisation, quant à cette attaque, peuvent engendrer d’énormes préjudices financiers et d’image. Cette attaque permet l’exfiltration et la vente de données client. Dans le secteur des télécommunications, les entreprises et opérateurs traitent en masse des données à caractère personnel et financier. Cette masse de données est la cible de nombreux cybercriminels ou groupes de cybercriminalité. Après exfiltration, les données récoltées sont soit revendues, soit utilisées comme moyen de chantage par divulgation ou comme arnaque par l’usurpation d’identité. L’ANSSI nous explique aussi que les différents acteurs de la télécommunication pourraient être contraints par des attaques rançongiciels ou DDoS. L’attaque rançongiciel consiste à intégrer un virus dans un serveur ou dans un ordinateur. Ainsi, l’auteur de cette attaque peut réclamer le paiement de rançon contre le déblocage d’un accès informatique. L’attaque DDoS, quant à elle, est résumée comme une cyberattaque rendant inutilisable un site Web ou une ressource réseau. L’attaque DDoS utilise le trafic de façon malveillante en le surexploitant.

Ensuite, le contexte géopolitique actuel témoigne de l’importance accordée aux menaces d’attaque visant à déstabiliser. Le secteur des télécommunications n’est pas seulement contraint par des cyber-attaques. En effet, des attaques physiques sur le réseau pourraient être menées, endommageant les infrastructures par des méthodes comme la coupure de câbles. De plus, ce secteur est atteint par le recours au sabotage. L’ANSSI nous rappelle, par l’intermédiaire du conflit armé russo-ukrainien, que le secteur de la télécommunication pâtit largement de ces attaques par sabotage. L’attaque menée par la Russie contre un réseau de communication satellitaire, dans le but d’une invasion, a rendu hors service des installations permettant le bon fonctionnement de la télécommunication en France. Toutefois, cette déstabilisation demeure spécifique quand l’attaque a pour but d’entraîner la publication et l’exposition de données personnelles à des fins politiques, morales, ou autres. En outre, dans l’objectif de déstabilisation et de chantage, un hackeur peut avoir recours à l’attaque par déni de service distribué comparable à l’attaque DDoS traitée ci-dessus.

Enfin, l’ANSSI déclare que «la menace la plus préoccupante » provient des attaques à des fins d’espionnage. Cette attaque a pour but d’exfiltrer des données et se justifie par l’intérêt stratégique de cette récupération de données à des fins commerciales, personnelles et autres. Parmi les divers auteurs de ces attaques se retrouvent des États comme l’Iran ou la Chine. Ces attaques peuvent se faire en ciblant les différents câbles de télécommunications, tout aussi bien terrestres que sous-marins. Toutefois, le moyen privilégié vise les équipements réseaux. La réussite d’une telle attaque permettrait d’accéder directement à diverses communications compromettant la totale confidentialité des données qui circulent dans un réseau d’opérateurs. Aucun équipement réseau n’est négligé, y compris un simple routeur domestique. Actuellement, même un équipement satellitaire peut faire l’objet d’un détournement.

Les recommandations applicables de l’ANSSI

Pour lutter contre ces menaces et prévenir ces attaques, l’ANSSI cite une liste de recommandations. Ces recommandations ne sont pas suffisantes, car elles ne constituent qu’une base à développer et à compléter, au cas par cas et en fonction du contexte. Tous les acteurs du secteur des télécommunications sont concernés par ces recommandations. L’ANSSI rapporte l’application de 35 recommandations, toutes réparties dans différentes thématiques. On y retrouve la sensibilisation, les postes de travail, l’infrastructure, l’administration du système d’information, le maintien en condition de sécurité, la journalisation et la détection.

Premièrement, concernant la sensibilisation, l’ANSSI va recommander de communiquer régulièrement sur la vigilance et des gestes à appliquer. Par exemple, il s’agit de ne pas connecter à son poste de travail une clé USB sans connaître son origine et de ne pas ouvrir des extensions de pièces jointes dont la provenance est douteuse. L’ANSSI propose également des exercices réguliers tels que des exercices d’hameçonnage par messagerie électronique.

Deuxièmement, à propos de la protection des SI (systèmes d’information) et des SI de l’OCE (opérateurs de communication électronique), il est important de déployer une passerelle Internet sécurisée, de segmenter et de filtrer au sein du système d’information. Dans l’objectif d’une protection interne, citons l’application d’une politique de gestion stricte des comptes utilisateurs administrateurs, des droits d’accès et des services applicatifs. Il convient, également, de définir une politique de sauvegarde des données de métier des OCE et de mettre en place un contrôle d’accès physique.

Troisièmement, plusieurs recommandations sont établies pour la sécurisation des cœurs de réseau fixes et mobiles. Nous allons nous concentrer sur la recommandation consistant à disposer d’une cartographie précise du cœur de réseau. Elle vise à connaître, au mieux, les éléments composant le cœur du réseau. Ainsi, cela permettra de mieux comprendre le fonctionnement et d’avoir un meilleur contrôle sur ce réseau. Un recensement des éléments constitutifs doit, alors, être effectué avec la nécessité « d’en connaitre les moindres détails », notamment sur l’endroit où se trouvent des connexions entre une zone sensible et un système étranger.

Quatrièmement, l’ANSSI va énoncer d’autres règles sur la sécurisation. Parmi ces règles, se distingue la sécurisation des services DNS. C’est un système de nom de domaine que l’on peut définir comme un « répertoire téléphonique d’internet » en associant les noms de domaine Internet avec leur adresse IP. Ainsi, l’ANSSI va conseiller de : cloisonner physiquement les infrastructures entre services DNS internes et externes ; déployer des serveurs qui ne seront pas référencés dans les enregistrements de la zone DNS ; restreindre la capacité de procéder à des transferts de zones ; se référer au guide de l’ANSSI sur la gestion des noms de domaine ; mettre en place des mesures de protections contre les attaques DDDoS. En outre, en ce qui concerne la sécurisation des échanges entre les terminaux des usagers et le cœur de réseau, il doit être possible d’identifier et d’authentifier les appels des usagers passant par le cœur de réseau. Il convient, aussi, de s’assurer que les algorithmes permettent une identification et une authentification conformes grâce au guide des mécanismes cryptographiques.

Cinquièmement, un travail doit être effectué autour de l’administration du système d’information. En effet, les services d’administrations exposés directement sur internet peuvent être attaqués. Il est, donc, nécessaire de supprimer les accès d’administration que l’on peut retrouver directement et facilement sur internet, puis de limiter cet accès aux seuls administrateurs. Ainsi, des outils comme un VPN sont utilisables. De plus, il existe d’autre recommandations plus spécifiques comme la mise en place d’un réseau et l’utilisation d’un poste d’administration, tous deux dédiés aux systèmes d’information. A l’aide de protocoles, il faut procéder à une vérification de la protection « des secrets de chiffrement et d’authentification permettant la gestion et l’administration des réseaux de collecte et de transport de données ».

Enfin, la dernière thématique aborde la journalisation et la détection. Ainsi, la mise en place d’un système de journalisation adapté consiste à collecter, au sein d’un système, les informations utiles à la recherche et à la correction d’incidents. Ces journaux doivent être conservés et sécurisés par la suite. Par ailleurs, un dispositif de détection des incidents de sécurité sur les cœurs de réseaux devra être déployé grâce à cette collecte de journaux et sur une stratégie de détection des incidents de sécurité. Ce dispositif permet d’identifier et d’anticiper des incidents venant autant de l’extérieur que de l’intérieur. Pour finir, il est recommandé de préparer des équipes dont la finalité est l’anticipation d’une gestion de cyber-crise.

Sources: