Vous venez de recevoir un message de votre opérateur télécom vous informant d’une vulnérabilité potentielle sur un de vos équipements ?

Voici les questions que vous pourriez vous poser et les réponses associées :

1. Qu’est-ce que l’ANSSI ?

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) est l’autorité nationale en matière de sécurité et de défense des systèmes d’information. Acteur majeur de la cyber sécurité, l’ANSSI apporte son expertise et son assistance technique aux administrations et aux entreprises avec une mission renforcée au profit des opérateurs d’importance vitale (OIV). Elle assure un service de veille, de détection, d’alerte et de réaction aux attaques informatiques. Les campagnes d’information sur les vulnérabilités informatiques rentrent dans le cadre des missions de prévention du centre de veille et de réponse à incident national, le CERT-FR.

2. Comment ces informations ont-elles été obtenues ?

• Ces informations sont issues de plusieurs sources :

• Signalement de la vulnérabilité par une entreprise (exemples : éditeur, société, industriel…)
• Signalement de la vulnérabilité par un chercheur en sécurité
• Publication « ouverte » de la vulnérabilité
• Découverte ou confirmation par les équipes de l’ANSSI de la présence de la vulnérabilité sur un ou des équipements, par exemple au cours d’un scan de vérification proactive de sa présence sur le réseau Internet français

3. Comment mon opérateur a-t-il obtenu mon nom et mes coordonnées ?

Conformément à la législation et à la réglementation en vigueur, l’ANSSI repère via un scan passif sur Internet les données techniques (adresses IP) concernées par certaines vulnérabilités en fonction de l’actualité. Elle transmet ensuite cette information aux opérateurs télécom responsables de la fourniture de ces adresses IP à ses abonnés, afin qu’ils alertent leurs abonnés concernés. En dehors de ses bénéficiaires (administrations, opérateurs d’importance vitale, opérateurs de services essentiels), l’ANSSI n’a pas connaissance de l’identité de l’abonné final.

4. L’ANSSI a-telle attaqué mon équipement ou tout autre équipement m’appartenant ?

Non. Confer question précédente.
Pénétrer sur un équipement informatique sans demande ou autorisation expresse de son propriétaire est strictement illégal. L’ANSSI ne pratique pas ce type d’action. Le scan de vérification de la présence de vulnérabilité effectué est un contrôle passif réalisé sur des informations ouvertes disponibles sur le réseau Internet. À titre de comparaison, un scan passif est l’équivalent d’une vérification visuelle d’une porte ouverte sur une maison, effectué à distance depuis la rue.

5. Qui d’autre pourrait découvrir ce que mon opérateur m’annonce ?

Tout individu ou entité réalisant depuis Internet un scan réseau pour chercher la vulnérabilité identifiée est en capacité de la détecter.

6. Qui d’autre est au courant de cette faille de sécurité ?

Dans le but de protéger les équipements, il existe des bases de données publiques listant les vulnérabilités existantes qui peuvent ensuite être cherchées (pour correction), ainsi que des abonnements recensant ce type de vulnérabilités. Une personne faisant des recherches (R&D) isolément est aussi en mesure d’en découvrir par elle-même avant qu’elles ne soient officiellement recensées. Toute personne souhaitant connaître ce type de vulnérabilité est donc en mesure d’en connaître les détails et la façon de les découvrir sur un réseau.

7. Avec qui l’information me concernant est-elle partagée ?

Conformément à la législation et à la réglementation en vigueur, l’ANSSI partage cette information uniquement avec l’opérateur télécom responsable de la fourniture de l’adresse IP signalée comme vulnérable, afin que cet opérateur puisse vous alerter.

8. Cette action respecte-elle la réglementation européenne liée au RGPD et aux consignes données par la CNIL ?

En dehors des réseaux professionnels dont elle a charge de protection, l’ANSSI n’a pas connaissance de la personne physique ou morale associée à l’adresse IP identifiée comme vulnérable. Cette connaissance est portée par l’opérateur télécom qui a charge de retrouver son abonné utilisant l’adresse IP identifiée à la date concernée (qui lui a été transmise par l’ANSSI), et de le prévenir de la présence de la vulnérabilité sur son ou ses équipements. Cette procédure par étapes successives permet de garantir que seuls les intervenants ayant besoin de connaître l’identité finale de la personne morale ou physique concernée y ont accès.

9. Suis-je victime d’une attaque informatique ?

L’ANSSI n’a pas la possibilité de se prononcer sur l’utilisation potentielle de cette faille par un acteur malveillant pour compromettre l’équipement ou le réseau sur lequel il est connecté. C’est pourquoi il est important de corriger la vulnérabilité. Les campagnes d’information sur les vulnérabilités informatiques réalisées par l’ANSSI sont avant tout des campagnes de prévention suite à l’identification d’une potentielle vulnérabilité. Une fois l’information transmise, chaque bénéficiaire de l’alerte a la possibilité de mener, directement ou via un prestataire, une analyse pour vérifier l’état de son équipement. Recevoir l’alerte ne signifie pas systématiquement que vous êtes victime d’une attaque informatique.

10. Comment puis-je vérifier si une personne malveillante a précédemment piraté mon équipement ?

Pour vérifier si l’équipement a été compromis, nous vous recommandons de contacter votre service informatique ou prestataire de service. Si vous n’avez pas de support informatique en capacité de réaliser cette opération, vous pouvez trouver sur Cybermalveillance.gouv.fr des prestataires spécialisés de proximité en capacité de vous assister, ici.

11. Cette analyse est-elle unique ?

En fonction de l’actualité sur les vulnérabilités, l’ANSSI peut être amenée à réaliser d’autres opérations de vérification du même type, soit sur la même vulnérabilité (par exemple, pour vérification de la diminution du nombre d’IP impactées suite aux publications des correctifs par l’éditeur) soit sur une autre vulnérabilité.

12. L’ANSSI a-t-elle prévue de refaire des analyses ? Si c’est le cas à quelle échéance ?

Il est parfois nécessaire que l’ANSSI doive réaliser un nouveau scan de vérification de la présence de la vulnérabilité, par exemple dans le cas d’une vulnérabilité critique d’exploitation facile qui exposerait à une menace accrue d’attaque en masse. Cette étape n’est donc pas systématique.

13. Puis-je solliciter l’ANSSI pour tester d’autres failles potentielles sur mes équipements ?

L’ANSSI ne réalise pas de prestation à la demande. Vous pouvez trouver sur Cybermalveillance.gouv.fr des prestataires spécialisés de proximité en capacité de vous assister, ici.

14. Où puis-je trouver plus d’informations ? Avez-vous des liens web afin que je comprenne mieux cette situation ?

Le site du CERT-FR fournit les détails techniques de la vulnérabilité. Notre plateforme Cybermalveillance.gouv.fr fournit des conseils pour se prémunir contre les risques numériques en général.

15. Que se passerait-il si je ne faisais rien ?

Vous prenez le risque d’une utilisation malveillante de votre équipement. En effet, une machine vulnérable est attractive pour un pirate informatique qui serait tenté d’accéder à l’équipement pour mener à bien une attaque informatique. L’ANSSI compte sur l’implication de tous pour sécuriser le cyberespace. « Tous connectés, tous impliqués, tous responsables ».

16. Légalement suis-je obligé de corriger cette vulnérabilité ? Que se passerait-il si mon équipement vulnérable était utilisé par un attaquant pour effectuer une action malveillante ?

La loi ne vous oblige pas à corriger cette vulnérabilité. Néanmoins, si la vulnérabilité dont vous avez désormais connaissance devait permettre à un acteur malveillant d’en prendre le contrôle à votre insu, et qu’il s’en servait pour réaliser une attaque envers un tiers (en France ou à l’étranger), votre machine serait identifiée dans les bases mondiales ainsi que dans l’enquête comme faisant partie de l’infrastructure d’attaque, et donc comme malveillante. En fonction des actions malveillantes réalisées sur les tiers par l’attaquant avec votre équipement, votre responsabilité pourrait être engagée. À noter que les conséquences liées à l’exploitation d’une vulnérabilité diffèrent à chaque signalement. Il est possible de trouver plus d’informations à ce sujet dans la description de l’alerte produite sur le site du CERT-FR.

17. Mon opérateur télécom a-t-il participé à cette campagne ?

Conformément à la législation et à la réglementation en vigueur, votre opérateur télécom joue uniquement le rôle de relais dans la communication de la vulnérabilité vers ses clients concernés, qu’il doit identifier à partir des adresses IP identifiées comme vulnérables qui lui ont été transmises par l’ANSSI.