Le 31/07/2022, sur un forum fréquenté par des cybercriminels, est posté un message indiquant qu’une faille de sécurité a été trouvée dans les infrastructures réseau de la société MBDA (1er acteur européen en termes de munitions complexes et de systèmes de missiles, 4 milliards de CA, 14000 collaborateurs, siège social en France) et que 80Gb de données confidentielles ont été volées. Il est indiqué que ces informations portent sur des employés participant à des projets militaires classifiés ainsi que sur les intérêts commerciaux du « Ministère Européen de la Défense » (défense antiaérienne, système missile, protection côtière). Le tout étant à vendre sur des forums russe et anglais sous le pseudonyme d’Adrastea pour la somme de 15 bitcoins.
Le même jour, l’information sort du Darkweb par l’intermédiaire du Club Arvin (groupe Ransomware populaire avec une présence Telegram étendue disposant d’un site officiel TOR / Onion pour mettre à jour son statut et publier les détails de ses dernières attaques et violations de données) qui relaye le message sur son fil télégramme entrainant la publication de la nouvelle deux jours plus tard sur le site MagIT. Plusieurs sites reprennent l’information puis le 26/08/2022, la BBC indique que l’OTAN vient d’ouvrir une enquête sur l’impact de la mise en ligne par un hacker d’une fuite de données militaires confidentielles provenant de MBDA. Elle ajoute dans son article que les hackers, en plus des échantillons transmis pour inciter à l’achat de la totalité des informations, ont fourni par email des documents supplémentaires portant la mention « NATO SECRET » (2ème plus haut niveau de classification de l’OTAN). La BBC ajoute que les hackers auraient également publié des informations sur le fonctionnement du Land Ceptor CAMM (Common Anti-Air Modular Missile), missile surface-air dernière génération de MBDA qui aurait été envoyé en Pologne récemment pour être utilisé contre les forces russes dans le cadre du system Sky Saber.
La réponse de MBDA
Au travers de l’article de MagIT, MBDA indique qu’il a bien été victime d’une tentative d’extorsion au travers de sa filiale Italienne et avoir porté plainte tout en coopérant avec la justice. MBDA précise également que le vol d’informations n’a pas eu lieux via une pénétration de ses réseaux informatiques mais au travers d’un disque dur externe et que les données publiées ne sont ni classifiées, ni sensibles. Fin août, un porte-parole de MBDA ajoute que les données qui ont fuité ne proviennent pas de MBDA, l’enquête OTAN visant un fournisseur de MBDA.
Un message contenu inopportun à plus d’un titre
Tout d’abord sur la thématique technique des informations qui ont fuitée : missile surface-air. En effet, la commission européenne a rendu public fin juillet 2022 le résultat de la 1ere vague (2021) des appels à propositions du fonds européen de défense (FEDEF). A l’issue de l’évaluation des offres et à la surprise générale, les financements du projet HYDEF (100M€ sur 3 ans), dans le domaine de la défense aérienne élargie, ont été attribués au consortium représenté par SENER (industriel espagnol du BTP dont une filiale réalise un CA de moins de 100M€ dans l’aérospatial) sans représentant français. Depuis, MBDA, leader d’un autre consortium très expert sur les sujets du projet HYDEF, réfléchissait à déposer un recours en annulation auprès de la commission Européenne, recours finalement effectué fin septembre. Il n’est donc pas de bonne presse dans ce contexte, d’être pointé comme victime d’une fuite de données militaire confidentielles portant en partie sur des technologies de missile sol-air déployés en Pologne dans le cadre de la guerre en Ukraine.
Un ciblage des personnels de MDBA
Ensuite sur la dimension humaine contenue dans le message des hackers. Le communiqué d’origine indique que les fuites de données contiennent des informations classifiées sur des employés ayant pris part à des projets militaires confidentiels. C’est beaucoup plus dommageable à moyens termes pour MBDA. En effet, il est important pour une entreprise du monde de la défense de protéger les identités de ses collaborateurs et/ou de ceux de ses sous-traitants travaillant sur des projets militaires fermés quand on voit comment il est facile de porter atteinte à l’intégrité physique d’une personne sur laquelle une minorité décide de se focaliser. D’autant plus que l'entreprise fait face à un double défi. Elle œuvre sur un secteur où la concurrence pour attirer les meilleurs profils (notamment les ingénieurs) est forte. Deuxième défi, la moitié de ses effectifs vont partir à la retraite dans la prochaine décennie. L’attaque informationnelle d’origine pourrait contrebalancer les efforts de MBDA engagés depuis 2018 pour renouveler ses effectifs et recruter des talents. Surtout dans un contexte où début juin, trois ONG ont porté plainte contre Dassault, Thales et MBDA pour crime de guerre au Yémen dans le cadre du conflit qui l’oppose aux Émirats arabes unis. Cette autre attaque informationnelle, sur le terrain de l’éthique, n’est pas un atout pour recruter des jeunes ingénieurs brillants de la génération Z, forces vives indispensables à la compétitivité de l’entreprise comme l’a rappelé Eric Béranger, PDG de MBDA, lors de son audition le 01 juin auprès de la commission des affaires étrangères, de la défense et des forces armées du Sénat.
Enfin, c’est la BBC qui fut le canal de communication utilisé au Royaume-Uni pour annoncer le lancement d’une enquête de l’OTAN sur la fuite de données en titrant « L’OTAN enquête sur la vente par un hacker de données d’un fabricant de missiles ». Que le groupe Arvin relaye le contenu du message des hackers n’est pas en soi une première. Que MagIT communique l’info en 1er tout en indiquant la position officielle de MBDA, qu’il a pris soin d’interviewer avant la sortie de son article, rééquilibre le rapport de force de l’attaque informationnelle. En revanche, l’article de la BBC consacré pour moitié à expliquer les niveaux de classification de l’OTAN tend à aggraver l’importance des données ayant fuité dont le véritable niveau de classification est invérifiable et dont MBDA a déjà communiqué publiquement sur leur non-classification.
MBDA, un outil de souveraineté européen à soutenir dans un contexte difficile
MBDA est un missilier Européen de classe mondiale. Cette société affiche aujourd’hui un chiffre d’affaires de plus de 4 milliards d’euros et compte 14 000 collaborateurs. Son capital est composé d’Airbus (Fr, DE, SP, 37,5%), de BAE systems (UK, 37,5%) et de Leonardo (IT, 25%). Elle fournit les trois armées ce qui fait de MBDA le 1er acteur européen en termes de munitions complexes et de systèmes de missiles. Son PDG, Eric Béranger, est un Français et 6000 personnes travaillent en France. MBDA assure également le vecteur de la composante nucléaire aéroportée française. L’excellence mondiale des solutions développées par MBDA repose sur une stratégie de coopération permettant une mutualisation des coûts de développement des différentes briques technologiques. Cette collaboration semble devenir plus difficile en Europe actuellement.
Côté britannique, le programme FMAN/FMC (missile antinavire, missile de croisière), issu du traité de défense franco-britannique de Lancaster House (novembre 2010) a été fortement perturbé et mis sur la touche en raison de l’affaire des sous-marins australiens et de l’alliance AUKUS (2021). Néanmoins, celui-ci vient d’être remis sur les rails en février dernier par la signature d’un accord gouvernemental entre le France et le Royaume-Unis et des contrats associés avec MBDA.
Côté allemand, MBDA Deutschland a dû annoncer en 2020 des restructurations suite au retard de démarrage du projet allemand TLVS (système de défense sol-air allemand), après avoir investi 150M€ sur le projet. Depuis, le projet semble être remis en question au profit du système de défense antimissile israélien Arrow 3 Iron Dome combiné au système de défense américain Patriot. Les récentes déclarations du chancelier allemand mettant en avant l’OTAN et l’importance de l’interopérabilité des armes entre les pays membres (donc de fabrication américaine de préférence) ne vont pas dans le sens d’une intensification de la collaboration avec MBDA.
Côté européen, malgré le leadership de MBDA dans le projet Twister (défense antimissile) lancé en 2019, c’est le consortium mené par SENER mais en fait dirigé techniquement par l’Allemand DIEHL (véritable acteur des missiles) et dans lequel MBDA n’est pas présent, qui a remporté l’appel d’offre du projet HYDEF (intercepteur d’engins hypersoniques) alors que DIEHL fabrique déjà sous licence Américaine les missiles anti-aérien IRIS-T SLM qui pourrait servir de base au projet, au détriment d’une BITD Européenne, composante importante de la souveraineté en matière de défense et légitimant même la création même du FEDEF. On notera toutefois dans ce contexte, et à quelques heures du dépôt du recours de MBDA, les récentes déclarations personnelles de Thierry Breton (Commissaire Européen en charge notamment de la défense) indiquant que sur un sujet aussi stratégique, le recours à deux sources ne serait pas aberrant.
Entre une Europe prenant le risque d’une non-compétitivité future par un saupoudrage permanent des fonds, une duplicité anglo-saxonne et une Allemagne qui souhaite devenir rapidement un showroom militaire des USA, on peut espérer que l’Etat français prendra conscience de l’enjeu de souveraineté qui réside dans la préservation du niveau de compétitivité de MBDA. Agir à courts termes sera probablement incontournable en pesant de tout son poids face à l’Allemagne, et ainsi imposer une défense européenne tournée prioritairement vers des acteurs européens, au travers de la BITD Européenne, plutôt que vers les USA ou Israël.
Rémi Noguera (MSIE40 de l’EGE)