Des services de sécurité et des sociétés privées visés par une cyberattaque ?

21

Une source autorisée au sein des FSI, contactée par « L’OLJ », a refusé d’infirmer ou de confirmer l’information d’une manière explicite, se contentant de souligner que le dossier « est entre les mains de la justice ».

Des services de sécurité libanais et des banques ont été victimes d’une cyberattaque, la plus importante dans l’histoire du pays, à en croire le quotidien al-Akhbar dans son édition de vendredi. « Il s’agit de la plus grande cyberattaque de l’histoire du Liban. Elle a ciblé des services de sécurité et des sociétés publiques et privées », révèle al-Akhbar, selon lequel les pirates informatiques responsables de cette attaque « sont libanais ». « Les pirates volent les informations et les vendent. L’enquête menée par la branche des informations (service de renseignements des Forces de sécurité intérieure) est secrète. L’identité des acheteurs des informations subtilisées n’est toujours pas connue », souligne le journal. Une source autorisée au sein des FSI, contactée par L’OLJ, a refusé d’infirmer ou de confirmer l’information d’une manière explicite, se contentant de souligner que le dossier « est entre les mains de la justice ».
« L’attaque a eu lieu il y a quelques mois, mais n’a été révélée qu’il y a environ deux semaines, lorsqu’un important fournisseur du réseau internet, cible d’une grosse tentative de cyberattaque, a porté plainte devant le parquet général. Le dossier a alors été transféré au service de renseignements des FSI qui a réussi à identifier un suspect. Celui-ci ainsi qu’un complice présumé ont été arrêtés », rapporte al-Akhbar.
Au fil de la progression de l’enquête, il s’est avéré que l’objectif de cette cyberattaque était de « voler des données et des rapports appartenant à des sociétés privées et des institutions étatiques, notamment des services de sécurité », poursuit le quotidien selon lequel plusieurs autres suspects ont été arrêtés durant les derniers jours.
Selon les informations d’al-Akhbar, l’une des deux compagnies de télécoms qui gèrent le réseau de téléphonie mobile au Liban, Alfa et Touch, a été « infiltrée par les pirates informatiques, sans que l’on puisse déterminer l’étendue des dégâts causés par l’attaque ». Des sources anonymes précisent que les pirates informatiques ont réussi à prendre le contrôle de la boîte e-mail d’Ogero, la compagnie libanaise qui gère le réseau fixe sur le territoire.
Selon le quotidien anglophone Daily Star, qui cite des sources anonymes, des banques ont également été touchées par cette cyberattaque.
Selon une source qui suit de près le dossier et qui s’est confiée à L’OLJ, « il s’agit d’une affaire de très grande ampleur. Plusieurs comptes bancaires ont été piratés, ainsi qu’un fournisseur privé d’internet ». Cette source affirme par ailleurs qu’un des pirates présumés est « proche de grandes sociétés bancaires ». Elle souligne qu’« au moins un suspect a déjà été arrêté », et dit s’attendre à davantage d’arrestations.
L’OLJ a également essayé de contacter plusieurs officiels pour obtenir une confirmation, notamment le directeur des FSI, Imad Osman, le ministre sortant des Télécommunications, Jamal Jarrah, ainsi que d’anciens ministres du même secteur. Aucun n’a pu être joint dans l’immédiat.

Les tweets de Inaya Ezzedine
Seule la ministre d’État pour le Développement administratif, Inaya Ezzedine, a accepté de réagir, indiquant qu’une telle opération de piratage « n’est pas surprenante ». Selon elle, « le Liban est depuis longtemps exposé à ce type de risque, n’ayant pas réussi à ce jour à s’en prémunir par le biais d’une stratégie nationale permettant de définir des règles strictes fondées sur des standards internationaux de sorte à protéger les données privées des citoyens notamment ». La ministre rappelle à ce propos qu’une stratégie avait été présentée en ce sens par son ministère, en mars dernier, mais n’est jamais parvenue en Conseil des ministres pour être avalisée. « Une telle stratégie n’empêchera pas les hackers de continuer de sévir, mais pourrait au moins réduire les risques de voir les données privées complètement exposées au piratage », estime-t-elle.
Inaya Ezzeddine avait également publié hier matin deux messages sur son compte Twitter dans lesquels elle évoque la cybersécurité, sans toutefois confirmer ou infirmer l’attaque en question.
« Je ne peux pas confirmer la cyberattaque en question ni son étendue, mais une telle attaque est possible », a commenté Tony Feghali, responsable associé au sein de Potech Consulting, une société spécialisée en cybersécurité. « Au Liban, certaines compagnies ont mis en place des plans de protection contre les cyberattaques, notamment les banques, car celles-ci sont contraintes de le faire par la Banque du Liban », explique-t-il à L’OLJ. « Pour ce qui est des services de l’État, notamment les services de sécurité, chacun met en place son propre plan. Il n’y a malheureusement pas de plan national de lutte contre le cybercrime. Nous avons pourtant besoin d’une stratégie nationale pour lutter contre le cybercrime car les mesures en place sont insuffisantes », déplore-t-il.
« La stratégie nationale doit inclure des mécanismes afin d’alerter le secteur privé, notamment les sociétés, les établissements scolaires et universitaires, les hôpitaux et les grandes usines, en cas d’attaque de grande envergure. Ces mécanismes doivent être humains et technologiques, insiste Tony Feghali. Mais les autorités libanaises ne sont pas conscientes du problème. Il faut une décision politique pour changer cela. Une coopération entre les secteurs privé et public est également indispensable. » L’expert rappelle qu’il y a eu des précédents concernant des cyberattaques de grande envergure au Liban, notamment l’attaque baptisée « Gauss ». Il s’agissait d’un cheval de Troie répandu en 2012. La Banque du Liban avait admis cette année-là que les banques libanaises avaient été victimes de cette attaque.

« Le Parlement ne fait pas son travail » 
Jad Kobeissi, avocat aux barreaux de Beyrouth et de Paris et spécialisé dans la protection des données personnelles, déplore, lui aussi, qu’il n’existe pas au Liban de lois sur la protection des données personnelles. « Il y a un projet de loi en la matière, qui remonte à plusieurs années et qui a été modifié à plusieurs reprises, dernièrement en 2017. Mais ce projet n’a toujours pas été voté par le Parlement », explique-t-il. « Ce projet concerne la protection des données personnelles mais englobe également le commerce électronique. La protection des données personnelles devrait faire l’objet d’une loi à part du fait de son importance », insiste l’avocat. « Mais le Parlement ne fait pas son travail », regrette-t-il. « Aujourd’hui, la justice a recours au code pénal pour sanctionner les cybercrimes, même si ce type de crime n’est pas mentionné expressément par le code pénal, explique Jad Kobeissi. À titre d’exemple, les dispositions relatives à l’espionnage servent de référence en la matière. Des sanctions sont donc prévues pour les cybercriminels, en se basant sur le code pénal et la jurisprudence en la matière. »