Power Point, Twitter, Instagram, etc. : comment des gouvernements étrangers utilisent nos logiciels et autres réseaux sociaux de tous les jours pour nous espionner<!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
International
Power Point, Twitter, Instagram, etc. : comment des gouvernements étrangers utilisent nos logiciels et autres réseaux sociaux de tous les jours pour nous espionner
©Reuters

Attention danger !

Power Point, Twitter, Instagram, etc. : comment des gouvernements étrangers utilisent nos logiciels et autres réseaux sociaux de tous les jours pour nous espionner

Les cyberattaques lancées par certains régimes autoritaires à l'encontre de personnalités de la société civile se sont récemment multipliées. Face à leur sophistication, journalistes, membres d'ONG et opposants peinent à lutter et voient leur vie souvent mise en danger.

Frédéric Mouffle
Frédéric Mouffle

Frédéric Mouffle

Directeur général associé du groupe ASK’M / KER-MEUR. Expert en cyber sécurité. Conférencier sur les menaces émergentes, spécialisé dans la sensibilisation auprès des entreprises.

Voir la bio »

Atlantico : Certains membres de la société civile, comme des journalistes, des membres d'ONG ou des opposants politiques, ont fait l'objet de cyberattaques similaires dans leur sophistication à celles dont sont victimes les gouvernements. Parmi ces cyberattaques, on retrouve notamment l'envoi de fichiers PowerPoint sur un sujet pouvant potentiellement intéresser la personne en fonction de ses activités, et contenant un logiciel espion permettant de prendre le contrôle d'un téléphone portable en tout discrétion. Dans quelle mesure cela constitue-t-il une menace pour les personnes visées par ce type d'attaques ? Doit-on s'inquiéter de ce phénomène ?

Frédéric Mouffle : 97% des personnes victimes de ce type d'attaques n'en ont pas connaissance. Cela permet à l'attaquant d'avoir accès à une information de façon permanente et sur le long terme. La sophistication de ces attaques fait qu'on ne s'en rend pas compte, d'autant plus qu'aucun antivirus ne peut agir contre ces codes malveillants. Néanmoins, les antivirus et autres logiciels de protection permettent d'éviter un certain nombre d'attaques que nous appelerons "communes" : celles envoyées à tout le monde par des attaquants d'un niveau technique plutôt bas, qui souhaitent ainsi prendre possession de la machine de la personne attaquée pour commettre d'autres infractions essentiellement. 

Ce phénomène date d'il y a au moins dix ans. La différence avec aujourd'hui, c'est que nous savons désormais que certains Etats ou certaines personnes disposent de moyens qui ont au moins cinq à six ans d'avance sur l'analyse de ces mêmes menaces. Ainsi, nous découvrons aujourd'hui des failles qui sont exploitées depuis une dizaine d'années. 

Le phénomène est inquiétant dans la mesure où la liberté individuelle de certains journalistes et opposants politiques est grandement menacée, ce qui a pu être constaté dans certains cas où des personnes ont été enlevées, torturées, etc. Ces attaques sont utilisées pour localiser non pas une seule personne, mais l'ensemble du réseau auquel elle appartient. C'est là où réside le problème : si vous êtes en contact avec une personne infectée par l'un de ces logiciels espions, vous entrez alors dans le stock des cibles à analyser par l'attaquant. 

Le fait d'en avoir conscience permet ainsi aux personnes visées par ces attaques, et notamment les journalistes, de contourner ces attaques en ayant recours au courrier manuscrit, en multipliant les déplacements plutôt que la communication électronique, etc.

Comment fonctionne exactement ce type de logiciels ? Existe-t-il des moyens pour empêcher leur action sur un appareil ?

Les scripts sont à la base du fonctionnement de ces logiciels : il s'agit de petits programmes conçus à des fins d'espionnage, de collecte, de sabotage, etc. 

Pour empêcher ce type de méfait, les moyens d'action sont très contraignants : il conviendrait, notamment, de se déconnecter d'internet, ce qui est difficilement envisageable en 2016. Les vecteurs d'infection sont toujours les mêmes, et sont au nombre de trois pour les principaux. On retrouve en premier lieu l'envoi d'une pièces jointe qui inclus un code malveillant qui va s'exécuter sur votre machine, permettant à l'attaquant de devenir administrateur de votre machine, et ce à votre insu. Pour savoir si votre téléphone a été victime d'une telle attaque, il convient de faire auditer votre téléphone ou votre ordinateur par des spécialistes qui pourront remonter le logiciel à l'envers pour voir comment celui-ci a été conçu et où vont les données collectées. En effet, les scripts contiennent forcément des adresses IP. A partir de là, on peut donc envisager de remonter la piste de l'attaquant, même si l'adresse IP peut vous emmener sur une fausse piste : ce n'est pas parce que l'adresse IP indique comme pays les Etats-Unis que l'attaque a eu lieu depuis les Etats-Unis ou que l'attaquant est américain. Pour éviter cela, on cherche plutôt, désormains, à travailler sur les dates des fuseaux horaires de création, sur la manière dont le code a été établi, etc. Certains pays ont une signature, ce qui permet d'avoir des soupçons de preuve sur l'auteur de l'attaque. Mais on peut tout à fait envisager qu'une personne choisisse de coder comme le font les Russes pour faire croire que ce sont eux les auteurs. Il est donc très difficile de connaître l'identité de l'attaquant. 

Ces logiciels espions sont le plus souvent utilisés par certains régimes autocratiques comme l'Iran, l'Ethiopie, les Emirats arabes unis, le Soudan, etc. Qui sont les producteurs de ces logiciels ? De quels pays proviennent-ils ?  Ces derniers ne participent-ils pas, d'une certaine manière, à la mise en danger des citoyens visés par ce type d'attaques ?

Nous pourrions commencer par citer l'exemple, qui date de l'année dernière, de la Hacking Team : il s'agit d'une société italienne qui vendait pour le compte de gouvernements des logiciels d'espionnage de masse, et qui a été hackée elle-même. Ses données ont été volées et mises sur la place publique. On a ainsi pu se rendre compte que cette société - qui a pignon sur rue - vendait ses logiciels à un certain nombre de pays parmi lesquels l'Ethiopie, la France, les Etats-Unis, etc. En 2013-2014, des journalistes de la chaîne Esat (Ethiopian Satellite Television) se sont rendus compte qu'ils avaient été piratés. Dans le cadre de l'enquête information, on a pu établir que la Hacking Team avait vendu ses logiciels à Addis Abeba. Mais il ne faut pas se voiler la face : tous les gouvernements ont ce type d'outils. Chaque pays utilise ensuite ces logiciels en fonction de ses besoins, et surtout de l'information qu'il considère comme stratégique et qui pourrait remonter grâce à cet outil-là. 

On pourrait aussi citer le cas de la société française Amesis, qui avait vendu à la Libye, dans un contexte international de rapprochement diplomatique avec ce pays, de l'infrastructure de surveillance des communications et des flux internet du pays en temps réel.  A chaque fois, l'opérateur ne sait jamais exactement à quelle fin le logiciel sera utilisé (usage militaire ou contre des civils). Or ce qui prime aujourd'hui, c'est le business avant tout. 

Il faut préciser que l'on trouve, outre les pays, des groupes isolés qui développent des logiciels espions à des fins de distribution ou de vente. Aujourd'hui, certains de ces groupes sont capables de pirater des routeurs Cisco et d'en capturer le flux total, pouvant ainsi récupérer des données par milliers. 

On parle beaucoup de ce phénomène aujourd'hui, parce qu'il y a dix ans, le fait que des pays avaient recours à ce type de locgiciel était anecdotique. Aujourd'hui, tout le monde dispose de ses applicatifs-là. 

Je rajouterai une chose : beaucoup de pays sous-traitent le traitement des données ainsi volées, ce qu'avait notamment révélait Edward Snowden dans le cadre des écoutes de la Nsa. Le fait d'avoir recours à la sous-traitance permet de mettre un écran de fumée devant l'Etat ayant recours à ces pratiques. 

Les supports utilisés pour lancer ces attaques (logiciels Windows type PowerPoint ou réseaux sociaux comme Twitter) peuvent-ils se prémunir pour éviter leur utilisation à des fins cybercriminelles ? Qu'est-ce que cela révèle de leur niveau de sécurité en l'état pour les utilisateurs ? 

Il faut bien comprendre que les supports sont aujourd'hui multiples : on peut aussi bien vous envoyer un fichier PowerPoint que Word ou Jpeg (image), ou un logiciel, ou bien vous faire installer une application malveillante sur votre smartphone. Si vous êtes passioné de golf par exemple, l'attaquant peut fabriquer une application dédiée au golf et vous convaincre ainsi de l'installer. L'attaquant peut également pirater les données de l'un de vos contacts et se faire passer pour lui pour vous attaquer à votre tour (c'est d'ailleurs ce qui s'est passé dans le cas d'ESAT mentionné plus haut). 

Sur les réseaux sociaux (Twitter, Facebook, Instagram), de nombreuses donées sont géolocalisées. Ceci avait d'ailleurs permis d'attester de la présence de militaires russes dans l'Est ukrainien qui prenaient des photos via Snapchat. A l'heure actuelle, il existe des logiciels qui permettent de reconstituer des cartographies très poussées de l'environnement d'un individu. 

Quant à la question de la sécurité de ces logiciels et réseaux sociaux, il convient de préciser que la faille aujourd'hui est essentiellement humaine. Votre ordinateur a beau être suffisamment protégé, si vous ouvrez une pièces jointe pour laquelle un message d'alerte vous est envoyé, vous êtes responsable en tant qu'utilisateur final. 

Les membres de la société civile ne disposent pas des mêmes moyens (techniques et financiers) pour lutter contre ces cyberattaques. Néanmoins, qu'est-ce qui pourrait être fait, d'une manière générale, pour accroître la protection de la société civile face à cette menace ? Quels gestes adopter pour éviter d'être victime d'une de ces cyberattaques ?

Pour ce qui relève de la lutte contre ce type de cyberattaques, je dirais que nous sommes tous au même niveau. Il est très difficile de protéger la machine d'une personne qui n'est pas sensibilisée aux risques, alors que la clé du problème aujourd'hui réside précisément dans la sensibilisation humaine, en expliquant aux personnes ce qu'il convient de faire et de ne pas faire. 

Certains gestes peuvent être accomplis pour limiter les conséquences de ce type d'attaques : préférer largement le réseau 4G à l'étranger, plus complexe, au wifi de l'hôtel si vous êtes en déplacement, ou bien - ce qui est de loin le geste le plus effiace - restaurer son matériel. Au moindre doute de cyberattaque, seule une restoration usine de votre téléphone permettra d'effacer toutes les données qui auraient pu être écrites à votre insu sur l'appareil. Un souci peut néanmoins se poser dans le cas où vos données ont été infectées et que vous les réimportez sur un appareil qui a été restauré : vous vous retrouvez alors dans la situation initiale. Il convient donc d'éviter de réimporter ses données pour éviter ce type de désagrément. Il y a quelques mois, on a découvert que les Américains avaient réussi à fabriquer des virus résistants au formatage, en infectant le petit logiciel inséré dans un circuit intégré dans le disque dur qui permet de faire fonctionner ce dernier. Ainsi, vous pouvez restaurer votre disque dur, mais lorsque vous allez réinstaller votre système d'exploitation, le disque dur aura toujours en interne un petit programme qui permettra de réinstaller le virus. Dans ce cas, hormis jeter le disque dur, il n'y a pas de solution. 

Propos recueillis par Thomas Sila

Commentaires

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !