Liban : des services de sécurité et des sociétés privées auraient été visés par une cyberattaque

Des services de sécurité libanais et des banques ont été victimes de "la plus grande cyberattaque de l'histoire du Liban", affirme le quotidien libanais Al-Akhbar dans son édition de vendredi. "Il s'agit de la plus grande cyberattaque de l'histoire du Liban. Elle a ciblé des services de sécurité et des sociétés publiques et privées", révèle Al-Akhbar, selon lequel les pirates informatiques responsables de cette attaque "sont Libanais". "Les pirates volent les informations et les vendent. L'enquête menée par la branche des informations (service de renseignement des Forces de sécurité intérieure) est secrète. L'identité des acheteurs des informations subtilisées n'est toujours pas connue", souligne le journal.

Une source autorisée au sein des FSI, contactée par L'OLJ, a refusé d’infirmer ou de confirmer l’information d'une manière explicite, se contentant de souligner que le dossier "est entre les mains de la Justice".

"L'attaque a eu lieu il y a quelques mois, mais n'a été révélée qu'il y a environ deux semaines, lorsqu'un important fournisseur du réseau internet, cible d'une grosse tentative de cyberattaque, a porté plainte devant le parquet général. Le dossier a alors été transféré au service de renseignement des FSI "qui a réussi à identifier un suspect. Celui-ci, ainsi qu'un complice présumé, ont été arrêtés", rapporte Al-Akhbar.

Au fil de la progression de l'enquête, il s'est avéré que l'objectif de cette cyberattaque était de "voler des données et des rapports appartenant à des sociétés privées et des institutions étatiques, notamment des services de sécurité", poursuit le quotidien selon lequel plusieurs autres suspects ont été arrêtés durant les derniers jours. 

Selon les informations d'Al-Akhbar, l'une des deux compagnies de télécom qui gèrent le réseau au Liban, Alfa et Touch, a été "infiltrée par les pirates informatiques, sans que l'on puisse déterminer l'étendue des dégâts causés par l'attaque". Des sources anonymes précisent que les pirates informatiques ont réussi à prendre le contrôle de la boîte e-mail d'Ogero, la compagnie libanaise qui gère le réseau des télécoms sur le territoire.

Selon le quotidien libanais anglophone Daily Star, qui cite des sources anonymes, des banques ont également été touchées par cette cyberattaque.

Selon une source qui suit de près le dossier et qui s'est confiée à l'OLJ, "il s'agit d'une affaire de très grande ampleur. Plusieurs comptes bancaires ont été piratés, ainsi qu'un fournisseur privé d'internet". Cette source affirme par ailleurs qu'un des pirates présumés est "proche de grandes sociétés bancaires". Elle souligne qu'"au moins un suspect a déjà été arrêté", et dit s'attendre à davantage d'arrestations. 

L’OLJ a également essayé de contacter plusieurs officiels pour obtenir une confirmation, notamment le directeur des FSI, Imad Osman, le ministre sortant des Télécommunications, Jamal Jarrah, ainsi que d'anciens ministres du même secteur. Aucun n’a pu être joint dans l'immédiat.

(Pour mémoire : Le secteur bancaire s’initie au « cyber-risque »)

Les tweets de Inaya Ezzedine

Seule la ministre d’Etat pour le Développement administratif, Inaya Ezzedine, a accepté de réagir, indiquant qu’une telle opération de piratage "n’est pas surprenante". Selon elle, "le Liban est depuis longtemps exposé à ce type de risque, n’ayant pas réussi à ce jour à s’en prémunir par le biais d’une stratégie nationale permettant de définir des règles strictes fondées sur des standards internationaux de sorte à protéger les données privées des citoyens notamment". La ministre rappelle à ce propos qu’une stratégie avait été présentée en ce sens par son ministère, en mars dernier, mais n’est jamais parvenue au Conseil des ministres pour qu’elle soit avalisée. "Une telle stratégie n’empêchera pas les hackers de continuer de sévir, mais pourrait au moins réduire les risques de voir les données privées complètement exposées au piratage", estime-t-elle.

Inaya Ezzeddine avait également publié vendredi matin deux messages sur sa page Twitter dans lesquelles elle évoque la cybersécurité, sans toutefois confirmer ou infirmer l'attaque en question.

"Pour que les données des Libanais ne soient pas à nouveau piratées, et parce que nous considérons que la sécurité des données des citoyens fait partie de la sécurité nationale, nous avons préconisé, dans le projet de stratégie nationale pour la transition numérique, la mise en place d'une infrastructure et des standards nécessaires pour préserver la sécurité des informations des citoyens et leur confidentialité".

(Pour mémoire : Les services de sécurité libanais ont-ils utilisé Angry Birds à des fins d’espionnage ?)

"Pas de plan national de lutte contre le cyber crime"

"Je ne peux pas confirmer la cyberattaque en question ni son étendue, mais une telle attaque est possible", a commenté Tony Feghaly, responsable associé au sein de Potech consulting, une société spécialisée en cybersécurité. "Au Liban, certaines compagnies ont mis en place des plans de protection contre les cyberattaques, notamment les banques, car celles-ci sont contraintes de le faire par la Banque du Liban", explique-t-il à l'OLJ.
"Pour ce qui est des services de l’Etat, notamment les services de sécurité, chacun met en place son propre plan. Il n’y a malheureusement pas de plan national de lutte contre le cybercrime. Nous avons pourtant besoin d’une stratégie nationale pour lutter contre le cybercrime car les mesures en place sont insuffisantes", déplore-t-il.

"La stratégie nationale doit inclure des mécanismes afin d’alerter le secteur privé, notamment les sociétés, les établissements scolaires et universitaires, les hôpitaux et les grandes usines, en cas d’attaque de grande envergure. Ces mécanismes doivent être humains et technologiques", insiste Tony Feghaly. "Mais les autorités libanaises ne sont pas conscientes du problème. Il faut une décision politique pour changer cela. Une coopération entre les secteurs privé et le public est également indispensable".

L'expert rappelle qu'il y a eu des précédents concernant des cyberattaques de grande envergure au Liban, notamment l’attaque baptisée "Gauss". Il s'agissait d'un cheval de Troie répandu en 2012. La Banque du Liban avait admis cette année-là que les banques libanaises avaient été victimes de cette attaque.

"Le Parlement ne fait pas son travail"

Jade Kobeissi, avocat au barreau de Beyrouth et de Paris et spécialisé dans la protection des données personnelles, déplore, lui aussi, qu'il n'existe pas au Liban de lois sur la protection des données personnelles. "Il y a un projet de loi en la matière, qui remonte à plusieurs années, et qui a été modifié à plusieurs reprises, dernièrement en 2017. Mais ce projet n'a toujours pas été voté par le Parlement", explique-t-il. "Ce projet concerne la protection des données personnelles mais englobe également le commerce électronique. La protection des données personnelles devrait faire l'objet d'une loi à part du fait de son importance", insiste l'avocat. "Mais le Parlement ne fait pas son travail", regrette-t-il. "Aujourd'hui, la justice a recours au code pénal pour sanctionner les cybercrimes, même si ce type de crime n'est pas mentionné expressément par le code pénal", explique Jade Kobeissi. "A titre d'exemple, les dispositions relatives à l'espionnage servent de référence en la matière. Des sanctions sont donc prévues pour les cybercriminels, en se basant sur le code pénal et la jurisprudence en la matière".

Pour mémoire

Gauss, le nouveau virus qui espionne des banques libanaises