COVID-19: les questions que pose la cyberattaque contre l'agence européenne des médicaments

Que sait-on de l'attaque ?

Peu de choses. Lors d'une conférence de presse jeudi, la directrice générale de l'agence européenne des médicaments (AEM) Emer Cooke a indiqué que l'attaque a eu lieu "ces deux dernières semaines".

L'agence basée à Amsterdam mène une enquête "de concert avec des experts en provenance des organismes de cybersécurité à travers l'UE, les autorités judiciaires et la police néerlandaise", a-t-elle souligné.

Mercredi, dans la foulée d'un communiqué lapidaire de l'AEM, Pfizer et BioNTech ont annoncé que "l'accès" à des documents liés à leur demande d'autorisation de leur vaccin, et stockés sur les serveurs de l'AEM, avait été "illégalement obtenu" pendant cette cyberattaque.

Cependant, "ni le système de BioNTech ni celui de Pfizer n'(ont) été violés en lien avec cet incident", précisent-ils.

L'AEM contrôle les médicaments de l'ensemble des 27 Etats membres de l'UE et doit rendre le 29 décembre au plus tard sa décision sur une autorisation conditionnelle du vaccin Pfizer/BioNTech.

"Je peux vous assurer que (cette attaque) n'impactera pas les délais prévus pour la livraison des vaccins et nous sommes entièrement opérationnels", a assuré Emer Cooke.

Quels objectifs ?

Le manque de détails rend impossible toute affirmation définitive. Mais les premiers éléments - la cible stratégique, l'accès aux documents sensibles - semblent indiquer que la piste crapuleuse, celle de l'extorsion financière pure et simple, est peu probable.

Gerome Billois, spécialiste de cybersécurité au cabinet Wavestone, évoque plutôt la "logique d'intelligence économique". "Quand on voit les milliards investis" dans ces vaccins, "c'est toujours bien d'avoir les résultats des essais cliniques", explique-t-il à l'AFP.

Des entreprises pharmaceutiques étrangères, comme des Etats, pourraient s'intéresser à la nouvelle méthode de vaccination par ARN messager, utilisé par Pfizer et Moderna, dans une logique d'espionnage industriel ou étatique.

Enfin, la troisième piste: provoquer délibérément des troubles, sans objectif direct.

"Décrédibiliser tel ou tel résultat" d'essai clinique, "discréditer" les autorités sanitaires et exciter la défiance des populations... Pour M. Billois, cette cyberattaque pourrait résulter "d'actions de déstabilisation" des institutions occidentales.

Qui peuvent-être les attaquants ?

L'attribution d'attaques informatique est particulièrement délicate, car il est possible de se faire passer pour quelqu'un d'autre, et les traces sont furtives.

Si la piste crapuleuse est écartée, restent les plus grands acteurs: organisations étatiques ou para-étatiques, grandes entreprises...

En juillet, le gouvernement américain avait révélé l'inculpation de deux Chinois accusés d'avoir mené, en coopération avec leur gouvernement, des attaques contre des entreprises liées à la recherche sur le Covid-19.

Également en juillet, le Royaume-Uni s'était dit "absolument sûr" de l'implication de la Russie dans des cyberattaques visant également la recherche sur les vaccins, ce que Moscou - régulièrement pointé du doigt par les pays occidentaux - avait rapidement démenti.

Mi-novembre, Microsoft avait dénoncé des cyberattaques de "groupes étatiques ou para-étatiques" russe et nord-coréens contre les même cibles.

Quels menaces cyber sur les futurs vaccins ?

Dans un rapport publié début décembre, le groupe informatique IBM a révélé qu'une série de cyberattaques avait ciblé, dès septembre, le secteur logistique, qui doit assurer la chaine du froid nécessaire à l'acheminement des vaccins Pfizer/BioNTech et Moderna.

Le service de la fiscalité et des douanes de la Commission européenne a notamment été visé via la méthode du hameçonnage: les attaquants envoyaient des emails en se faisant passer pour des interlocuteurs connus, avec l'objectif d'obtenir des informations permettant l'infiltration des systèmes informatiques ciblés.

IBM précisait ne pas être en mesure d'identifier l'origine des piratages, mais assurait que leur nature et leur sophistication faisaient penser aux méthodes d'un acteur étatique.

Pour Mark Kedgley de New Net Technologies, un fournisseur de logiciels de cybersécurité, "la propriété intellectuelle liée aux produits pharmaceutiques grand public a une valeur immense et est un prix de choix pour les cybercriminels."

"Les acteurs étatiques et non-étatiques tentent d'utiliser n'importe quelle situation pour obtenir un avantage, qu'il soit politique ou financier. Cela aurait été inconcevable que les efforts liés au Covid ne soient pas visés", relève pour sa part Brett Callow d'Emsisoft, une société spécialisée dans la cybersécurité.