Ah, la Belgique. Ses gaufres, ses frites, son surrĂ©alisme lĂ©gendaire… et maintenant, ses cyberattaques dignes dâun thriller de sĂ©rie B, mais avec des consĂ©quences bien rĂ©elles. Le Service Public de Wallonie (SPW), paisiblement occupĂ© Ă gĂ©rer subventions, aides publiques et paperasse numĂ©rique, a rĂ©cemment reçu un cadeau surprise : une attaque cyber. Mais pas du genre phishing de base. Non, non, ici on parle dâattaque ciblĂ©e Ă fort potentiel gĂ©opolitique.
𧚠Le scĂ©nario : quand les IP russes sâinvitent dans lâadministration
Autant le dire tout de suite : on nâest pas dans le cadre dâun ado belge qui sâamuse avec Metasploit depuis sa cave. Les IP russes pointent du doigt une opĂ©ration bien plus structurĂ©e â vraisemblablement une attaque sponsorisĂ©e par un Ătat (suivez mon regard vers lâEst). Pourquoi un tel intĂ©rĂȘt pour la Wallonie ? đ€
Indice : lâune des plateformes touchĂ©es concerne la gestion des licences dâexportation dâarmes. Oui, les armes. Celles qui intĂ©ressent curieusement certains pays embourbĂ©s dans de petits diffĂ©rends frontaliers…
đ DĂ©ni de service ? Espionnage ? Malware ? Et pourquoi pas tout en mĂȘme temps ?
Les autoritĂ©s restent (Ă©videmment) trĂšs discrĂštes sur les modalitĂ©s techniques de lâattaque. Mais plusieurs indices laissent supposer un cocktail savoureux de :
- Compromission de serveurs internes (on soupçonne lâexploitation dâune vulnĂ©rabilitĂ© non patchĂ©e â parce que les correctifs, câest surfait).
- Déni de service : histoire de mettre le bazar pendant que les malwares dansent.
- Collecte de donnĂ©es sensibles : avec un soupçon dâexfiltration bien sentie.
Et bien sĂ»r, les sauvegardes, dans tout ça ? Bonne question. Si elles existaient, elles nâont pas empĂȘchĂ© lâinterruption massive des services, obligeant lâadministration Ă sortir les fax et les tampons encreurs. NumĂ©rique, vous avez dit ?
đŠžââïž Microsoft Ă la rescousse
Dans un twist tout droit sorti de « The IT Crowd », Microsoft a Ă©tĂ© appelĂ© en urgence pour tenter de remettre la boutique en ordre. Bon, ils ont mis un peu de temps Ă rebrancher les serveurs, mais il faut comprendre : quand on nâa pas documentĂ© lâarchitecture depuis 2009 et qu’on dĂ©couvre quâun serveur critique tourne encore sous Windows Server 2008, on fait ce quâon peut…
đ§ Petit bilan technique et politique
- Le SPW nâavait manifestement pas dâarchitecture de rĂ©silience sĂ©rieuse. Ni PRA (Plan de Reprise dâActivitĂ©), ni PCA (Plan de ContinuitĂ©). Ou alors, il Ă©tait rangĂ© dans une armoire quelque part entre la machine Ă cafĂ© et le dossier « SAP_urgent_v3_FINAL_FINAL2.xlsx ».
- La segmentation rĂ©seau semblait absente ou obsolĂšte. Une compromission semble avoir affectĂ© plusieurs briques critiques, preuve dâun rĂ©seau plat ou mal cloisonnĂ©.
- Pas de MFA gĂ©nĂ©ralisĂ©. Lâabsence dâauthentification forte sur les outils critiques est une faille bĂ©ante… toujours pas corrigĂ©e au moment de lâĂ©criture de cet article.
đ Quand lâironie rejoint la cybersĂ©curitĂ©
Le plus drĂŽle (ou triste ?) dans cette affaire, câest la rĂ©action de certaines administrations belges voisines : elles ont coupĂ© leurs connexions avec la Wallonie « par prĂ©caution ». Traduction : « On sait pas ce que vous avez foutu, mais on veut pas que ça nous arrive ».
Un peu comme si votre voisin vous disait : « Tu tâes fait cambrioler ? Super, je change la serrure et je coupe la sonnette. »
đš Et maintenant ?
Un rapport dâaudit est en cours (comprendre : un PDF de 60 pages quâon ne lira jamais), et le ministre wallon promet plus de cybersĂ©curitĂ© « à lâavenir ». Comme Ă chaque attaque. Comme aprĂšs WannaCry. Comme aprĂšs SolarWinds. Comme aprĂšs⊠vous avez compris.
MoralitĂ© ? Tant quâon considĂ©rera lâIT comme une boĂźte noire gĂ©rĂ©e par « les gars de lâinformatique », les cyberattaques seront aussi inĂ©vitables quâun cafĂ© froid Ă la machine de lâadministration.
đŹ Si vous avez aimĂ© cet article, n’hĂ©sitez pas Ă le diffuser (ou Ă lâimprimer, pour ceux qui comme le SPW, ne jurent que par le papier). La cybersĂ©curitĂ© nâest pas une option, câest un rĂ©flexe.
