Promulguée en décembre dernier la LPM, loi n° 2013-1168 du 18 décembre 2013 « relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale » (plus communément appelée « Loi de Programmation Militaire ») a fait couler beaucoup d’encre. L’article 20, portant sur les « interceptions de sécurité et accès administratif aux données de connexion », en a été la cause principale et a fait l’objet de nombreux commentaires.
Cette loi contient de nombreux articles qui dépassent le cadre de ce billet ; nous allons nous concentrer sur le chapitre IV et les articles 21 à 25 qui détaillent les dispositions relatives à la « protection des infrastructures vitales contre la cybermenace ». Depuis l’attaque Stuxnet en 2010, les publications de failles et d’outils offensifs ciblant les « composants SCADA » se sont multipliées. Par ailleurs, de nombreux systèmes sont exposés et accessibles directement sur Internet et peuvent être détectés au moyen de simples requêtes dans un moteur de recherche. Concrètement : il peut suffire de quelques clics de souris pour accéder à des fonctions de pilotage et perturber significativement le comportement d’un site industriel. La capture d’écran ci-contre en est l’illustration : il s’agit d’un système de régulation de chauffage accessible en ligne avec login et mot de passe par défaut.