Victime d’intrusion informatique en décembre dernier, l’armée belge poursuit bon an, mal an ses recherches. Les ministres de la Défense et des Affaires étrangères optent pour la prudence en l’absence d’éléments probants qui permettraient de déterminer le(s) responsable(s) et l’impact réels.

À la mi-décembre 2021, on a appris que des pirates avaient exploité une faille de sécurité dans un logiciel populaire (Log4j) pour pénétrer dans les systèmes informatiques de la Défense. Le flou persiste depuis lors sur le but de cette attaque. S’agissait-il pour les hackeurs d’une mission de sabotage, d’espionnage, de représailles ou de démonstration de capacités ?

Interrogée par écrit au Parlement, la ministre de la Défense a temporisé. « L’enquête du Service Général du Renseignement et de la Sécurité (SGRS) est toujours en cours, il est donc encore trop tôt pour déjà tirer des conclusions », a précisé Ludivine Dedonder (PS).

L’incident a suscité des doutes sur les moyens et la protection de l’armée belge au moment même où l’une des priorités politiques vise à constituer une composante Cyber à part entière, des troupes composées de « soldats du web ».

« La vulnérabilité exploitée par l’attaquant était, jusqu’à très récemment, inconnue. Et donc, cela n’a pas été possible de mettre des mesures défensives spécifiques en place », a exposé la ministre Dedonder. Les équipes ICT de la Défense ayant coupé les ponts entre les serveurs militaires et le monde extérieur pendant de longues semaines.

Impact inconnu ?

« Les actions de l’attaquant ont été rapidement détectées, démontrant ainsi que la protection des réseaux de la Défense fait déjà preuve d’une certaine maturité. Cependant, cela ne change rien au fait qu’un renforcement supplémentaire des capacités ICT et cyber de la Défense reste nécessaire », a-t-elle poursuivi, insistant sur le fait que des ressources budgétaires nécessaires ont déjà été « partiellement » prévues.

L’enquête du SGRS étant toujours en cours, rien ne permettrait d’infirmer que les hackeurs aient eu accès à des informations sensibles du personnel militaire ou autres. La ministre de la Défense n’a pas abordé les éventuels indicateurs de compromission, ces indices de fuite de données servant à cerner les méthodes des cyberattaquants. On apprend à tout le moins que « plusieurs experts privés » ont fourni un soutien spécifique pendant la phase de récupération de cet incident.

Quant à l’impact sur les activités de l’armée belge, si on sait que certaines portions du système sont restés inaccessibles pendant une période prolongée, aucun éclairage supplémentaire. Ludivine Dedonder a répété que l’attaque n’a eu aucun impact sur les opérations à l’étranger, pour lesquelles les informations sont échangées via des réseaux classifiés (sans lien avec Internet).

Impossible dans ces conditions d’identifier le(s) responsable(s) de cette intrusion. Acteur étatique ? Groupe de hackeurs à la solde d’un pays tiers ? Cybercriminels de fortune ? Et puisqu’une attribution correcte de l’attaque est requise avant toute action, « en ce moment, il est donc prématuré d’envisager des mesures offensives », a ponctué la ministre de la Défense.

Aucune demande d’attribution

Également interpelée par écrit sur le sujet, notamment sur d’éventuelles preuves pointant vers un auteur, la ministre des Affaires étrangères a renvoyé vers l’enquête en cours à la Défense.

« Une procédure d’attribution diplomatique peut être engagée suite à une requête de l’un des membres permanents du Conseil national de sécurité auprès du ministre des Affaires étrangères. Une telle requête n’a pas été formulée pour le moment », a indiqué Sophie Wilmès (MR).

Cette procédure envisageable depuis peu en Belgique n’est certainement pas prise à la légère par nos décideurs politiques. Cela requiert une évaluation, au moyen d’éléments techniques, censée donner une indication sur le degré de certitude quant à la responsabilité d’une cyberactivité malveillante.

« L’attribution n’est ni une action isolée, ni un but en soi. Elle doit se positionner dans un cadre stratégique plus vaste qui réserve aussi une place à d’autres options politiques avec lesquelles elle s’articule de manière cohérente », a développé la ministre Wilmès. Autrement dit, ce genre de décision se doit de prendre en compte des répercussions potentielles sur la relation bilatérale et sur les relations avec nos partenaires internationaux.

Entretemps la Russie a envahi l’Ukraine, déployant aussi ses forces armées dans le cyberespace. Ce qui exacerbe une situation déjà compliquée en matière d’attaques cyber, la Belgique courant un risque accru par rapport aux pays voisins.