« COREU Leak », une Europe qui doit se protéger

Selon un article du New York Times*, daté du 18 décembre dernier, des hackers auraient eu accès aux câbles diplomatiques de l’Union Européenne durant plusieurs années, entre 2016 et 2018, téléchargeant des milliers de documents du réseau sécurisé « COREU ».

Parmi eux, de nombreux mémos et comptes-rendus d’entretiens entre dirigeants européens et leurs homologues étrangers. Les hackers auraient aussi infiltré les réseaux des Nations-Unies et ceux d’autres organisations et d’Etats. Les câbles auraient été détectés par une société d’intelligence économique, Area 1, fondée par plusieurs anciens cadres de l’agence américaine NSA, toujours selon le New York Times. AREA 1, basée en Californie, est spécialisée dans la prévention contre les attaques informatiques et de social engineering.

L’union Européenne cible d’une campagne de phishing

D’après l’un de ses dirigeants, les informations ont été recueillies sur un site web servant de plateforme pour héberger le butin des hackers après qu’ils se sont livrés à de « banales » campagnes de hameçonnage (phishing)  ciblant des fonctionnaires diplomates chypriotes de l’UE, sans difficulté technique particulière. Selon un des experts de AREA1, cette campagne aurait été menée « sans nul doute » par une unité spéciale de l’Armée Populaire de Libération (APL) chinoise.

A ce jour, aucun grand média, étonnamment, ne s’interroge sur l’origine et l’exploitation de cette révélation publique, comme si les intentions étaient connues de tous, et les conséquences évidentes. En première lecture, les faits rapportés visent la Chine et ses capacités en cyber-guerre dans un contexte de tensions extrêmes des relations bilatérales. Trois jours après la parution de l’article du New York Times, le 21 décembre, le Département de la Justice du Royaume-Uni et son homologue Américain accusaient deux ressortissants chinois d’avoir infiltré, pour le compte d’un Ministère chinois, plusieurs dizaines d’entreprises, en Europe, Asie et sur le continent Américain.

Dans le même temps, le message qu’il envoie apparaît comme une remontée de cales à destination des institutions Européennes et leurs pays membres jugés peu à même de se protéger contre les agressions extérieures malgré, selon le quotidien américain, des « alertes répétées » de vulnérabilités des systèmes de communications internes, qui n’auraient provoqué que « haussements d’épaules » de la part de fonctionnaires européens. Sur le fond donc, l’avertissement serait au moins double, renvoyant respectivement les deux grands blocs, l’UE et la Chine, à leurs responsabilités et à leurs engagements. « Au moins », car l’article semble également pointer du doigt des manquements dans les orientations de l’exécutif Américain.

La Chine et l’UE visées, mais aussi l’Administration Trump

Tout d’abord, le rôle d’AREA 1 n’est pas clair. Cette société, qui se vante d’avoir une « décennie d’expérience » dans la lutte contre les intrusions informatiques et tout particulièrement celles provenant de Chine, aurait divulgué un bon millier de câbles diplomatiques européens à un grand quotidien de la côte est des Etats-Unis, connu pour ses positions « libérales », c’est-à-dire à peu près à l’opposé des positions de l’actuelle majorité présidentielle et du locataire de la Maison Blanche. Le journal emblématique de la Big Apple, a-t-il laissé trainer dans son réquisitoire dual des éléments de politique intérieure, au détriment de l’image de l’UE et de ses membres ? C’est ce que semble insinuer le titre de l’article : « Les câbles qui révèlent l’anxiété de l’Europe » lequel est suivi par un sous-titre accusant l’Administration Trump « d’inconsistance » de sa politique étrangère. Cette interprétation des câbles fait écho aux critiques de James Mattis, déplorant dans sa lettre de démission à la tête du Pentagone, le lâchage des alliées de l’Amérique. Admettons que l’UE doit et peut mieux faire pour se protéger, et par la même protéger ses partenaires avec qui elle parle, mais était-ce nécessaire de le faire de cette façon et de divulguer que « Moscou aurait déjà déployé des têtes nucléaires en Crimée», ou de citer le nom d’une diplomate européenne en poste à Washington recommandant dans un télégramme aux chancelleries des Etats-membres de « contourner le Président Américain en traitant directement avec le Congrès » ? Si l’on suit la logique éditoriale du New York Times, ces révélations devraient produire un électrochoc à Bruxelles, en insistant sur le caractère confidentiel, voire secret des câbles piratés et le faible niveau de protection dont ils bénéficiaient.

Sur le plan diplomatique, cela signifie donc que l’UE propose tout simplement de contourner la Maison Blanche et de conduire une sorte d’alliance de revers avec un Congrès, qui est en attente d’en découdre précisément avec elle et dont l’influence est jugée sur le déclin aux Etats-Unis face à l’hyper présidence Trump.  Et que penser d’une menace nucléaire russe aux portes de l’espace européen sinon qu’elle instruit un procès en faiblesse de l’UE….et met le doigt sur les conséquences du dédain patent de D. Trump vis-à-vis de la défense de l’Europe ?

Plusieurs câbles relatant des entretiens entre dirigeants Chinois et Européens figurent aussi parmi ceux partiellement révélés. Ainsi, l’un d’entre eux datant du mois de juillet dernier cite Xi Jinping déclarant que la Chine « ne se soumettrait pas à l’intimidation des Etats-Unis (…), même si une guerre commerciale ferait du tort à tout le monde ». Si l’intention du journal était de tenter de faire réagir le Président, elle serait bien naïve. En revanche, elle est involontairement alignée tout à fait avec le message que propage Pékin : une guerre commerciale ne fait que des perdants et la Chine ne pliera point.

Un avertissement sans frais. Quels enseignements ?

Au final, ce « COREU leak » a décoché de multiples flèches, mais l’on ignore dans quelles conditions AREA 1 a réalisé ce joli coup – médiatique –  et sur quels critères repose le digest qu’en a fait le New York Times. En outre, on aurait pu attendre des détails sur le modus operandi des présumés hackers à la solde de l’APL, ainsi que sur les implications potentielles d’un tel larcin.

Du côté européen, plusieurs enseignements peuvent être tirés de cet incident diplomatique, rendu possible par le tandem américain AREA1-New York Times.

Premièrement, selon la loi de la moindre résistance, c’est le côté faible du triangle Etats-Unis-UE-Chine, en l’occurrence l’UE et ses institutions, qui sont pris pour cibles. Via, cette fois-ci, des fonctionnaires Européens de Chypre. Si ces informations sont exactes, elles font le lit de ceux qui soulignent une Europe divisée entre grands et petits pays-membres. Les mêmes niveaux d’équipement, de procédures, les mêmes exigences, le même niveau de formation, doivent s’appliquer aux systèmes et fonctionnaires des Etats-membres de l’Union en matière de protection du secret.

Deuxio, la réaction officielle de l’UE est, en l’espèce, insuffisante, et c’est un euphémisme. Elle indique « être au courant des allégations portant sur une fuite potentielle d’informations sensibles » et « activement mener une enquête ». Dont acte. Demandons davantage dans six mois afin de mesurer si les secrets de l’UE peuvent être gardés…secrets. La valeur de l’argument consistant à dire que les informations « réellement » confidentielles, secrètes et très secrètes, transitent par d’autres systèmes plus fiables, est faible. Le système de câble dit « COREU » abrite des informations sur l’Iran, la politique étrangère et de sécurité commune (PESC), et fait état de rencontres entre responsables politiques de l’UE et ses partenaires. Leur timbre restricted, présumé de moindre sensibilité, parait inadaptée face à l’obligation de protéger les contenus des échanges sur des sujets de politique étrangère et de sécurité.

Tertio, pour les entreprises européennes, c’est un avertissement aussi. Si l’UE, en tant qu’institution peut, faire les frais d’une montée des tensions sino-américaines, ses entreprises pourront aussi devenir une cible récurrente du « match de boxe où tous les coups sont permis », qu’aurait déploré Xi Jinping dans un câble COREU.

Dans ce contexte, pour l’entreprise européenne déployée à l’international, la classification de l’information stratégique (commerciale, technologique) ne peut donc plus être un nice to have. Cela va au-delà de la nécessaire mise à jour du niveau de sécurité informatique. Ses filiales à l’étranger sont plus particulièrement exposées, ainsi que ses liaisons (courriels, applications, progiciels, serveurs…).

La bonne nouvelle est que depuis peu les lois françaises et européennes de protection du secret des affaires, désormais alignées, procurent une protection juridique plus efficace aux entreprises…qui prennent les mesures pro-actives pour protéger leurs informations sensibles**. Les Etats de l’Union, ses entreprises et, in fine, ses ressortissants doivent prendre conscience de personne d’autre qu’eux ne saurait défendre leurs intérêts fondamentaux, pas mêmes nos alliés et leurs médias.

Paris, le 30 décembre 2018

Laurent Malvezin, Président de Montsalvy Consulting

 

*https://www.nytimes.com/2018/12/18/us/politics/european-diplomats-cables-hacked.html

**Entrée en vigueur en 2018, la loi française sur le secret des affaires vient d’être complétée le 11 décembre dernier. Ce décret précise le contenu des mesures provisoires et conservatoires que le juge peut mettre en place pour prévenir ou faire cesser une atteinte au secret des affaires. Ces mesures provisoires présentent l’avantage d’être rapides à exécuter pour empêcher ou stopper l’atteinte à un secret des affaires.