Nov 02

L’ÉTRANGE PIRATAGE DE DOCUMENTS LIÉS AU SITE D’ENFOUISSEMENT DE DÉCHETS NUCLÉAIRES DE BURE

En partenariat avec des médias allemands, « Le Monde » a remonté la piste de ces documents confidentiels discrètement publiés après un piratage.

Dans la nuit du 10 au 11 juin, c’est un étrange message que reçoivent les 1 700 employés d’Ingérop, un grand groupe d’ingénierie dont le siège est situé à Rueil-Malmaison (Hauts-de-Seine). « Cher·e employé·e d’Ingérop », débute le message, avant de dénoncer les conséquences environnementales du projet d’enfouissement de déchets nucléaires à Bure dans la Meuse (Cigéo), dont Ingérop est l’un des principaux prestataires. Plus loin, le courriel se fait plus menaçant, et évoque de futures « actions diverses visant votre entreprise et les personnes impliquées dans le projet Cigéo ». Il se conclut sur un appel aux salariés, leur demandant de transmettre toutes les informations confidentielles à leur disposition sur le projet Cigéo à une adresse e-mail sécurisée.

Le message est signé d’un collectif baptisé « Les Monstres de Cigéo ». Sur un blog fraîchement créé, le collectif appelle les opposants au projet d’enfouissement à mener campagne contre les sous-traitants qui préparent, sur le site de Bure, le gigantesque chantier d’enfouissement de déchets radioactifs. Très critiqué, le projet fait l’objet d’une importante mobilisation de militants écologistes et d’habitants, avec des manifestations régulières et parfois musclées. « Toute forme d’action est la bienvenue, soyons créatif·ve·s, obstiné·e·s, déterminé·e·s, pour obtenir d’Ingérop qu’elle se retire du projet Cigéo et de tous les projets connexes », est-il encore écrit sur le site, sans précisions sur les modalités d’action que le collectif espère voir naître.

« La nature de ces courriels était assez menaçante »

Au siège d’Ingérop, l’e-mail est pris au sérieux, et l’entreprise réagit rapidement. « La nature de ces courriels était assez menaçante, voire déstabilisante pour nos collaborateurs, qui ne s’y attendaient pas du tout », juge François Lacroix, directeur scientifique et technique du groupe. Le PDG, Yves Metz, envoie un courriel à toute l’entreprise, appelant les salariés à « ne pas réagir ni répondre d’aucune manière à des messages de cette nature ». Dans les jours qui suivent, l’entreprise met en place une « cellule d’accompagnement » pour les salariés, embauche une société spécialisée en sécurité informatique pour examiner ses systèmes, et annonce une remise à zéro de tous les mots de passe des messageries. « Les premières réactions étaient plutôt liées à l’évaluation de la protection physique, note M. Lacroix. Mais nous nous sommes aussi fait accompagner par des experts en cybersécurité pour chercher à comprendre ce qui s’était passé. »

Pendant ce temps, à Bure, la mobilisation contre le projet Cigéo se poursuit. Le 16 juin, une manifestation rassemble environ 2 000 personnes à Bar-le-Duc (Meuse), suivie d’échauffourées entre quelques dizaines de manifestants et la police. Le 20, les forces de l’ordre lancent une importante série de perquisitions et d’arrestations dans le milieu des opposants au projet : dix personnes, dont un avocat, sont placées en garde à vue. Le lendemain, un message sobrement intitulé « Ingerop Leaks » est mis en ligne sur le blog des Monstres de Cigéo. Il contient un lien vers plusieurs gigaoctets de documents internes d’Ingérop, qui a été « envoyé par mail » aux militants, avec un message de revendication truffé de fautes de français affirmant que la publication a été décidée « en réaction aux perquisitions du 20 juin [à Bure]. »

80 Go de documents publiés en ligne

Dans les jours qui suivent, d’autres documents sont mis en ligne, tous sur un sous-domaine du site SystemAusfall, animé par un collectif allemand qui fournit des outils informatiques libres à qui les demande, et qui n’est pas spécialement lié aux mouvements écologistes. Au total, près de 80 Go de documents, que Le Monde a pu consulter, sont ainsi publiés. On y trouve des fichiers administratifs et des dossiers liés à différents chantiers publics, dont certains semblent sensibles de prime abord : ils ont trait à la centrale nucléaire de Fessenheim, aux installations de Bure, ou encore à des centres pénitentiaires français.

Entre-temps, Ingérop a porté plainte. Les enquêteurs spécialisés ont découvert des accès non autorisés à son réseau interne. L’Anssi, l’agence chargée de la protection informatique de l’État qui offre aussi son expertise technique aux sociétés travaillant dans des domaines sensibles, a également repéré la publication des documents. Le 3 juillet, la section du parquet de Paris chargée de la lutte contre la cybercriminalité ouvre une enquête, et sollicite son homologue à Cologne, pour faire cesser la publication des fichiers et recueillir les données techniques du serveur.

« Les documents incluent les plans de quatre prisons françaises et des documents sur le projet Cigéo et les infrastructures de la centrale de Fessenheim »

À Cologne, le juge qui examine la requête française prend l’affaire très au sérieux. « Les documents publiés incluent (…) les plans de quatre prisons françaises et des documents sur le projet Cigéo et les infrastructures de la centrale de Fessenheim », située à quelques kilomètres de la frontière allemande, écrit-il dans sa réquisition transmise à la police de Dortmund, où se situe l’un des serveurs utilisé par SystemAusfall. Quarante-cinq minutes après avoir reçu le fax de Cologne, le 4 juillet, les policiers de Dortmund se présentent au centre culturel Langer August, qui abrite plusieurs associations, interdisent aux personnes présentes de quitter les lieux, et brisent la porte de la salle serveur, exploitée par l’association scientifique Wissenschaftsladen Dortmund. Les enquêteurs repartent avec plusieurs disques durs et une clé USB – quelques mois plus tard, le ministère de l’intérieur du Land justifiera la perquisition par une « menace sur la sécurité nationale » française.

Des documents confidentiels, mais pas si sensibles

Quel est le niveau de sensibilité réel de ces documents ?

Contrairement à ce qu’a cru comprendre le parquet de Cologne, les dossiers ne comprennent pas de détails sur les infrastructures de Fessenheim – mais une expertise du montant de l’indemnisation pour EDF lorsque fermera la plus ancienne centrale nucléaire française, au plus tard en 2022. Certains fichiers liés au projet Cigéo, porté par l’Agence nationale pour la gestion des déchets radioactifs (Andra) et pour laquelle le bureau d’études Ingérop travaille depuis plusieurs années, sont, eux, confidentiels, à défaut d’être particulièrement sensibles.

La centrale nucléaire de Fessenheim, en 2011. Les documents dérobés ne concernent pas la centrale elle-même, mais les calculs de coûts liés à sa fermeture. FREDERICK FLORIN / AFP

On y trouve une multitude d’éléments sur les risques naturels et les impacts du projet, les tracés étudiés pour l’acheminement des « colis » radioactifs, la configuration des galeries souterraines, l’agencement des installations de surface ou l’implantation d’un transformateur électrique. Des informations dont beaucoup sont en accès libre sur le site même de l’Andra.

Plus inattendu, un fichier détaille les parcelles agricoles et forestières concernées par l’emprise du chantier, avec les noms de leur propriétaire et de leur exploitant, assortis de la mention « maîtrisé », « maîtrisable » ou « difficile à maîtriser ». Des qualificatifs dont on comprend qu’ils s’appliquent non seulement au contrôle du foncier, mais aussi aux détenteurs des terrains, identifiés comme étant prêts ou non à céder ces terrains. Un procédé que certains intéressés, qui ont eu connaissance de cette liste, dénoncent comme « un fichage ».

Un autre document fait état d’une réunion, tenue le 12 mars, au cours de laquelle a été examiné le risque d’une action d’opposants à Cigéo désireux de ralentir les travaux et de médiatiser leur combat. Des « préconisations » y sont formulées pour prévenir un « acte de malveillance », par exemple sur l’accès des engins de déblaiement ou le type de formations végétales à éviter. Ces pages éclairent en réalité certains aspects des pratiques et des préoccupations de l’Andra dans la conduite du projet Cigéo, plus qu’elles ne divulguent des informations véritablement sensibles.

Le constat est similaire pour les documents liés à la conception ou à la rénovation de trois prisons, la maison d’arrêt de Bordeaux-Gradignan (Gironde), le centre pénitentiaire d’Orléans-Saran, et le tout nouveau centre pénitentiaire de Lutterbach, dans le Haut-Rhin. Ingérop a naturellement accès à des données confidentielles, comme celles évoquant les problèmes d’amiante à Gradignan. Les documents en apparence les plus sensibles, des plans détaillés du futur centre de Lutterbach, comprenant l’emplacement des caméras de vidéosurveillance, ne le sont pas tant que ça : « Il s’agit du dossier pour un concours de maîtrise d’œuvre que nous avons perdu », explique François Lacroix, directeur scientifique et technique d’Ingérop. Ce ne sont donc pas ces plans qui sont actuellement utilisés pour construire le centre pénitentiaire.

« Notre système informatique comporte deux niveaux d’authentification, c’est compartimenté, explique M. Lacroix. C’est très déplaisant de se voir voler des données, mais ça ne représente qu’un nombre très réduit de projets. »

Documents remis en ligne

Qui a mis en ligne les documents volés à Ingérop ?

Et surtout, qui les a dérobés ?

Les indices les plus évidents pointent vers un ou des militants antinucléaires. Mais plusieurs détails laissent planer le doute. Et notamment le fait que les documents aient été volés avant le début des envois de courriels aux salariés d’Ingérop. Selon M. Lacroix, l’attaque qui a visé les systèmes de l’entreprise était « préparée, technique sans être exceptionnelle, mais d’un certain niveau ». Or, le collectif à l’origine des Monstres de Cigéo s’est, d’après son propre historique de mobilisation, davantage illustré par sa propension à l’action directe que par ses capacités de piratage : il a essentiellement revendiqué des blocages, des destructions de biens, des tags… Ses responsables n’ont pas donné suite aux tentatives de contact du Monde.

Coïncidence : le 20 juin, une importante série de perquisitions a également eu lieu en Allemagne, visant des défenseurs des libertés numériques dans le cadre d’un autre dossier lié à Noblogs.org. Mais ces perquisitions reposaient sur des justifications techniques farfelues – certains des militants soupçonnent la police d’avoir surtout cherché à recueillir plus généralement des informations sur des hacktivistes allemands, et accusent à demi-mot la police d’avoir eu des objectifs cachés –, et les perquisitions ont par la suite été annulées par la justice allemande.

Le collectif allemand animant le site SystemAusfall a également été très surpris que ses serveurs soient saisis sans avertissement. « Ils auraient pu facilement nous envoyer un e-mail pour nous dire qu’il y avait un problème avec un site que nous hébergions. Les autorités ne nous ont pas contactés, et ont ordonné à la place une perquisition », explique-t-on au sein de l’association. Les saisies risquent de n’être que d’une maigre utilité aux enquêteurs : les disques saisis étaient chiffrés de manière robuste.

Cinq mois après le vol des documents, le mystère sur l’identité du ou des pirates reste donc entier. Militants français, hacktivistes allemands ou italiens, ou une tout autre source ?

Les arrestations du 20 juin semblent avoir servi de prétexte à une publication décidée de longue date. Son ou ses auteurs, se présentant comme des militants antinucléaires, avaient contacté anonymement l’hébergeur dès début juin pour demander un grand espace de stockage.

La piste d’une opération d’espionnage industriel ou étatique, si elle n’est pas la plus probable, n’est pas non plus complètement saugrenue. Le secteur de l’énergie fait l’objet d’un intérêt particulier de la part des services de renseignement et des divisions cyber des armées étrangères, et sa protection est l’une des principales priorités de l’Anssi.

L’enquête sur le piratage d’Ingérop se poursuit ; elle a été confiée à la Direction générale de la sécurité intérieure.

Par Damien Leloup (avec Martin Untersinger, Pierre Le Hir, Nabil Wakim et Franck Johannès) le 01.11.2018 à 20h00

https://www.lemonde.fr/pixels/article/2018/11/01/l-etrange-piratage-de-documents-lies-au-site-d-enfouissement-de-dechets-nucleaires-de-bure_5377717_4408996.html?