Hervé Debar, Télécom SudParis – Institut Mines-Télécom
Les attaques informatiques ne sont pas un phénomène récent. Le premier ver diffusé sur Internet, dit « Morris worm » du nom de son créateur, a infecté 10 % des 60 000 ordinateurs que comptait Internet à cette période.
Le livre The Cukoo’s Egg, publié en 1989, raconte déjà une histoire vraie d’espionnage informatique. Depuis cette période, on a donc assisté à un ensemble de phénomènes malveillants, avec des causes multiples évoluant au cours du temps. La motivation initiale de nombreux « hackers » était la curiosité face à une technologie nouvelle, largement hors de portée du commun des mortels à l’époque. A succédé à cette curiosité l’appât du gain, qui s’est d’abord traduit par des campagnes de messagerie incitant à l’achat de produits sur Internet puis à des attaques par déni de service.
Depuis quelques années, trois types de motivations prévalent :
- Un gain financier direct, notamment par le déploiement des rançongiciels, qui fait de nombreuses victimes ;
- L’espionnage et le gain d’information, étatique le plus souvent mais également privé ;
- La captation et manipulation de données, le plus souvent personnelles, à des fins de propagande ou de contrôle.
Ces motivations se couplent à deux types de processus d’attaques, des attaques ciblées où l’attaquant a choisi sa cible et se donne les moyens de la pénétrer, des attaques à grande échelle où l’attaquant cherche à faire le plus de victimes possible dans le maximum de temps, son gain étant proportionnel au nombre de victimes touchées.
La mode des rançongiciels
Les rançongiciels sont des programmes malveillants qui s’installent de manière détournée sur un ordinateur et en chiffrent le contenu. Ils affichent ensuite un message demandant une rançon pour obtenir les clés de déchiffrement.
Le logiciel de caisses enregistreuses Kaseya
En juillet 2021,une attaque a frappé le logiciel de gestion de caisses enregistreuses Kaseya, utilisé dans plusieurs chaînes de magasins. C’est la partie cloud du service qui a été impactée, menant à l’indisponibilité des systèmes de paiement de plusieurs chaînes de magasins.
L’attaque Colonial Pipeline
Un exemple récent est l’attaque visant l’oléoduc de la côte est des États-Unis « Colonial Pipeline », en mai 2021. Cette attaque a rendu inopérants les logiciels utilisés pour contrôler le flux de carburant dans ce tuyau, ce qui a engendré des pénuries de carburant dans les stations-service et les aéroports.
L’attaque contre les systèmes informatiques de Colonial Pipeline, qui transporte près de la moitié des produits pétroliers américains, a forcé l’opérateur à fermer l’ensemble de ses opérations… https://t.co/nv5yyLt8y9
— Le Figaro (@Le_Figaro) May 14, 2021
Cet exemple est marquant car il a touché une infrastructure visible et qu’il a eu un fort impact économique, mais d’autres infrastructures, banques, usines et hôpitaux, sont régulièrement impactés par ce phénomène. Il convient par ailleurs de noter que ces attaques sont très souvent destructrices, et que le paiement de la rançon ne garantit pas une capacité à retrouver ses données.
Il est malheureusement à prévoir que ces attaques continuent, au moins dans un premier temps, car il y a un gain financier certain pour les attaquants, certaines victimes payant la rançon malgré les difficultés éthiques et légales que cela pose. Les mécanismes d’assurance contre le crime informatique peuvent par ailleurs avoir un effet délétère, le paiement de rançon encourageant les attaquants à continuer. Les états mettent également en place des outils de contrôle des cryptomonnaies, souvent utilisées pour le paiement des rançons, afin de rendre ce paiement plus difficile. Notons par ailleurs que paradoxalement l’usage des cryptomonnaies permet une traçabilité qui ne serait pas accessible par des paiements traditionnels. Cela permet d’envisager une baisse de la rentabilité de ce type d’attaque ainsi qu’un accroissement du risque pour les attaquants, menant à terme à une réduction de ce type de pratique.
Les attaques ciblées orchestrées par des états
Les infrastructures sont fréquemment pilotées par des outils numériques, incluant les infrastructures régaliennes des états (économie, finance, justice…). Par conséquent, nous constatons le développement de nouvelles pratiques, sponsorisées par des états ou des acteurs très puissants, qui mettent en œuvre des moyens sophistiqués sur du temps long pour parvenir à leurs fins. Plusieurs exemples existent, comme l’attaque Stuxnet/Flame contre les centrifugeuses iraniennes, ou l’attaque contre le logiciel SolarWinds.
L’exemple de SolarWinds
L’attaque contre la société Orion et son logiciel SolarWinds est particulièrement exemplaire du niveau de complexité que certains acteurs sont capables de mettre en œuvre lors d’une attaque. Le logiciel SolarWinds est un outil de gestion de réseaux ; il occupe donc une position critique pour piloter un système d’information. Il est utilisé par de très nombreuses grandes entreprises et administrations américaines.
#geopolitique #cyber
— Conflits (@revueconflits) September 21, 2021
SolarWinds et la vague de hameçonnage.
En parallèle à la crise du Covid-19, les pays occidentaux ont assisté à une explosion des cyberattaques, opérations d’espionnage d’État et d’actions pour motifs crapuleux.https://t.co/aSERbsLUPn
L’attaque initiale a été portée en 2019 (entre janvier et septembre), pour pénétrer l’environnement de compilation de SolarWinds. Entre l’automne 2019 et février 2020, l’attaquant a interagi avec cet environnement pour implanter des fonctionnalités complémentaires. En février 2020, cette interaction a permis l’implantation d’un cheval de Troie dénommé « Sunburst », qui sera ensuite intégré aux mises à jour de SolarWind et implanté de cette manière chez les clients d’Orion, jusqu’à infecter 18 000 organisations. La phase d’exploitation a démarré fin 2020 par l’injection de codes malveillants supplémentaires téléchargés par Sunburst. L’attaquant a finalement pénétré le nuage Office365 des sociétés compromises. La première détection d’activité malveillante a été faite en décembre 2020, avec le vol d’outils logiciels de la société FireEye.
Cet exemple a couru tout au long de l’année 2021 et a des impacts majeurs, montrant à la fois la complexité et la longévité de certaines attaques. Cette action a été attribuée par les renseignements américains au SVR, le service d’espionnage extérieur russe, ces derniers l’ayant nié. Il est vraisemblable que l’intérêt stratégique de certaines cibles amène à des développements ultérieurs de ce type d’attaque ciblée en profondeur. L’importance des outils numériques pour le fonctionnement de nos infrastructures critiques amène inévitablement le développement d’armes cyber par les états, et prendra probablement de l’ampleur dans les années à venir.
Le contrôle social
La publication des activités du logiciel Pegasus, de la société NSO, montre que certains états ont un intérêt fort à compromettre les équipements informatiques, notamment smartphones, de leurs opposants.
L’exemple de Tetris
Tetris est le nom d’un outil utilisé (potentiellement par le gouvernement chinois) pour infecter des sites Internet de discussion et remonter les identités d’opposants possibles. L’outil est utilisé sur 58 sites et réalise des actions relativement complexes pour voler les identités des visiteurs.
Le « zéro-click »
La publication des outils de Pegasus a mis en évidence la famille d’attaques dites « 0-click ». De nombreuses attaques contre les logiciels de messagerie ou les navigateurs supposent qu’un attaquant va cliquer sur un lien, et que ce click va déclencher l’infection de la victime. Une attaque 0-click déclenche cette infection sans aucune action de la cible. L’exemple en cours est la vulnérabilité dite ForcedEntry ou CVE-2021-30860, touchant l’application iMessage des iPhones.
Cette application, comme de nombreuses autres, accepte des données de format très nombreux et différent, et doit effectuer de nombreuses opérations complexes pour les présenter de manière élégante aux utilisateurs, malgré un format d’affichage réduit. Cette complexité engendre une surface d’attaque importante. Un attaquant connaissant le numéro de téléphone de la victime peut donc lui envoyer un message malveillant, qui au cours du traitement préalable par le téléphone déclenchera l’infection. Certaines vulnérabilités permettent même de supprimer les traces (au moins visibles) de la réception du message, pour éviter d’alerter la cible.
Malgré le durcissement des plates-formes informatiques, il est vraisemblable que certains états, et certaines sociétés privées, conserveront la capacité de pénétrer les systèmes informatiques et les objets connectés, soit directement (p. ex. smartphones), soit les services en nuage auxquels ils sont connectés (par exemple les services vocaux). On rentre ainsi dans le domaine de la politique, ou de la géopolitique…
La grande difficulté des attaques informatiques reste l’attribution, c’est-à-dire la capacité de retrouver l’origine de l’attaque et d’identifier l’attaquant. C’est d’autant plus difficile que l’attaquant essaie fréquemment d’effacer ses traces et que l’Internet lui offre de nombreuses opportunités pour le faire.
Que faire pour prévenir une attaque ?
La meilleure solution pour prévenir une attaque est de suivre les mises à jour des systèmes et des applications, et éventuellement les installer de manière automatique. La plupart des ordinateurs, téléphones et tablettes peuvent ainsi être mis à jour sur un rythme mensuel, voire plus fréquemment. Il convient également d’activer les mécanismes de protection existants, comme les pare-feux ou les anti-virus, pour éliminer une grande partie des menaces.
Il est capital de sauvegarder fréquemment ses données, sur des disques ou dans le cloud, et de ne rester connecté à ces sauvegardes que tant qu’elles sont en cours. Une sauvegarde n’est vraiment utile que si elle est séparée de l’ordinateur, par exemple pour éviter que le disque de sauvegarde ne soit attaqué par un rançongiciel en même temps que le disque principal. Une sauvegarde double, ou sous forme papier, d’informations clé comme les mots de passe de vos principaux outils (compte de messagerie, bancaire…) est également indispensable.
Il convient également d’utiliser les outils numériques avec discernement. Dit simplement, si cela paraît trop beau dans le monde réel, il y a fort à parier que ce l’est également dans le monde virtuel. Prêter attention aux messages apparaissant sur nos écrans, relever des fautes d’orthographe ou des tournures de phrase étranges, permet souvent de voir des anomalies de comportement de nos ordinateurs et tablettes et de vérifier leur état.
Finalement, les utilisateurs doivent savoir que certaines pratiques sont risquées. Les magasins d’application non officiels ou les téléchargements d’exécutables sur Internet pour obtenir des logiciels sans licence incluent souvent des programmes malveillants. Les VPN très à la mode pour regarder des chaînes d’autres régions sont également des vecteurs d’attaque.
Que faire en cas de compromission ?
Une compromission ou une attaque sont des événements très stressants, ou l’attaquant essaie fréquemment d’augmenter le stress de la victime par des pressions ou des messages alarmistes. Il faut impérativement garder son sang-froid et se procurer un deuxième matériel (ordinateur ou téléphone) pour retrouver un outil permettant de travailler sur la machine compromise.
Il est indispensable de retrouver un état dans lequel la machine compromise est saine. Cela veut dire une réinstallation complète du système, sans essayer de récupérer des morceaux de l’installation précédente, pour éviter tout phénomène de réinfection. Avant récupération, il faut analyser sa sauvegarde pour être sûr qu’il n’y a pas eu transfert du code malveillant sur celle-ci. De ce fait, comprendre d’où vient l’infection peut être utile.
Dans de nombreux incidents, la perte de quelques heures de données est malheureusement acceptable, et il faut se tourner vers une remise en route la plus rapide et la plus saine possible. Payer une rançon est fréquemment inutile, dans la mesure où de nombreux rançongiciels sont en fait incapables de déchiffrer les données. Lorsque ce déchiffrement est possible, il existe fréquemment des programmes gratuits pour le faire, fournis par des éditeurs de logiciels de sécurité. On apprend en conséquence à faire des sauvegardes plus exhaustives et plus fréquentes…
Finalement, il est très utile lorsque l’on ne dispose pas de compétences internes en cybersécurité de se faire accompagner dans une démarche d’analyse de risque et de mise en place de mécanismes de protection d’utiliser des services cloud certifiés, d’effectuer des audits réguliers par des professionnels certifiés pour des prestations d’audit de détection et de traitement des incidents de cybersécurité.
Hervé Debar, Directeur de la Recherche et des Formations Doctorales, Directeur adjoint, Télécom SudParis – Institut Mines-Télécom
Cet article est republié à partir de The Conversation sous licence Creative Commons. Lire l’article original.
2 comments
Pingback: Hervé Debar - I'MTech
Pingback: Veille Cyber N356 – 11 octobre 2021 |