Nouvelles armes informatiques pour des attaques mieux ciblées

La société américaine Symantec est spécialisée dans l’édition de logiciels de sécurité et de protection des données. Présente dans plus de 40 pays, elle consacre 17 % de son chiffre d’affaires en recherche et développement et y fait travailler 500 analystes. Sa couverture mondiale et permanente lui permet de détecter rapidement : plus de 240.000 attaques dans près de 200 pays ; des « maliciels » auprès de 133 millions de clients ; plus de 35.000 vulnérabilités dans 11.000 « éditeurs » et 80.000 technologies ; 5 millions de comptes leurres (« spams/phishings ») parmi plus de 8 milliards de messages par jour et 1 milliard de requêtes journalières par internet.

Les « maliciels », programmes destinés à piller des données confidentielles, perturber ou même détruire le fonctionnement des systèmes informatiques, se multiplient avec un perfectionnement accru. Les constructeurs de logiciels de protection ont beaucoup de mal à suivre leur évolution et le nombre de leurs attaques.

Laurent Heslault, directeur des stratégies de sécurité de Symantec Europe, a présenté la situation au cours d’une conférence-débat organisée, le 21 mars 2013 à Paris, par l’Association des auditeurs jeunes de l’Institut des hautes études de défense nationale.

Cibles et objectifs. Dans un monde très connecté (ordinateurs, téléphones mobiles et réseaux sociaux), compétitif et complexe, les cyberattaques se concentrent sur les personnes, processus et technologies. Toutes les organisations ou entreprises, quelle que soit leur taille, constituent des cibles : 50 % comptent moins de 2.500 personnes ! Par secteur d’activité, sont visés en ordre décroissant : l’Etat et le secteur  public, la production industrielle, les établissements financiers, les services informatiques, les fabricants de produits chimiques et pharmaceutiques, les transports, les organisations à but non lucratif, les média, les sociétés de marketing, les centres d’enseignement et les points de vente au détail. Par fonction, les cadres de haut niveau arrivent en tête des victimes, devant les destinataires de courriels partagés, les commerciaux, les personnels affectés à la recherche et au développement, et même les responsables des ressources humaines chargés du recrutement. Les données confidentielles volées peuvent être revendues ou simplement rendues publiques au journal télévisé… avec de graves conséquences financières, juridiques et pour la réputation des entreprises ! En matière de cyberattaques, d’autres pays ont les mêmes capacités que la Chine, souvent montrée du doigt. Ainsi, des « vers », venus de 115 pays, ont infecté plus 40.000 adresses informatiques (IP). La plupart des cibles font partie du panorama de l’industrie de défense au sens large : construction navale militaire, aéronautique, armement, énergie, électronique et recherche. Ainsi en 2011, Symantec a détecté 677 infections par le maliciel « Stuxnet » aux Etats-Unis, 86 au Canada, 53 en Chine, 31 à Hong Kong et 31 en Australie. Taïwan, la Grande-Bretagne, la France, la Suisse, l’Inde et le Danemark ont également été touchés. Stuxnet, actif pendant au moins cinq ans contre l’Iran, a modifié les programmes de ses centrifugeuses d’enrichissement de l’uranium, sans que les consoles de contrôle s’en aperçoivent : il a fallu remplacer 1.000 centrifugeuses ! Un autre maliciel dénommé « Jokra », découvert le 20 mars 2013, a attaqué 3 chaînes de télévision, 2 banques et 1 centre de télécommunications en Corée du Sud, modifiant la présentation de sites internet et effaçant 32.000 machines. Les « serveurs » sont particulièrement visés. Toutefois, Laurent Heslault met en garde contre cet emballement médiatique : « Information ou intoxication ? On est dans le domaine du renseignement avec du faux ».

Modes opératoires. Les attaquants de l’internet se répartissent en trois catégories : les  jeunes pirates (« hackers »), motivés par le défi technologique, les cybercriminels par un retour financier sur investissement et les activistes par l’idéologie ou l’action politique. Les  groupes, bien organisés et compétents, visent plus la propriété intellectuelle que la destruction des appareils des « cibles ». Ils disposent d’importants moyens financiers, vu l’échelle et la durée de leurs opérations. Il s’agit donc probablement d’organisations criminelles, de groupes soutenus par un Etat, des services de renseignement d’un Etat ou même d’organisations non gouvernementales. Ainsi, Amnesty International a admis avoir procédé à des cyberattaques.  Selon Symantec, une attaque informatique ciblée se déroule en quatre phases : incursion par envoi d’une pièce jointe « piège » avec un message crédible ; cartographie des réseaux et systèmes avec recherche des données confidentielles ; accès aux données des systèmes vulnérables et installations de maliciels pour les capturer ;  renvoi de ces données confidentielles en clair, chiffrées et/ou compressées vers l’équipe attaquante. Les maliciels volent aussi les informations sonores et videos et tentent de prendre le contrôle de machines des dirigeants. Toutefois, ils finissent tôt ou tard par être découverts : Stuxnet et Jokra, mais aussi « Duqu », « Flamer », « Sofacy », « Nitro », « Shamoon », « Elderwood », « Spear Phishing », Watering Hole » « Sykipot » et « Narilam ».  Plus grave, la « menace persistante avancée » ou APT, pour « Advanced Persistant Threat », est une campagne active d’attaques ciblées et à long terme. Elle peut utiliser des techniques de renseignement (écoutes), tente de rester indétectable le plus longtemps possible, inclut des menaces multiples et possède plusieurs moyens de contrôle pour assurer son succès. Enfin, elle connaît des mutations et s’adapte pour contourner détections et mesures de sécurité.

Contre-mesures. Une seule technologie ne suffit pas pour se prémunir contre l’APT. Le maliciel n’est qu’une composante de l’APT et l’individu restera toujours le maillon faible. Symantec propose diverses mesures pour chacune des quatre phases d’une attaque informatique, dont notamment : l’éducation des personnes à risques, la surveillance des sources externes et l’évaluation du niveau de vulnérabilité ; la validation des politiques de sécurité (mots de passe) et la détection des incidents de sécurité récurrents ; la classification de l’information sensible et la détection de maliciels dits « uniques » ; la conformité des règles de communication, la surveillance et éventuellement le blocage des communications sortantes, la détection des flux atypiques et le filtrage des contenus sortants. Toutefois, l’emploi d’armes informatiques « offensives » se heurte, en France, à des obstacles juridiques…qui n’existent pas dans d’autres pays, indique Symantec. Enfin, alors que le cyberespionnage se produit tous les jours, qu’en est-il d’une véritable cyberguerre causant des pertes en vies humaines, comme la guerre tout court ? Laurent Heslault l’estime possible dans un avenir lointain. Il recommande donc la vigilance : « Il y a de vrais risques, mais pas encore de vrais dangers ».

Loïc Salmon

site réalisé par triibu