Cyberattaque de masse : une catastrophe mondiale difficilement évitable quoiqu'en pense Edward Snowden<!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
International
Cyberattaque de masse : une catastrophe mondiale difficilement évitable quoiqu'en pense Edward Snowden
©

Alerte rouge

La cybertattaque survenue il y a quelques jours est peu commune, quant à son étendue et son mode d'action. En moins de 24 heures, 75 000 attaques ont eu lieu. A ce jour, Renault serait la seule victime française répertoriée.

Franck DeCloquement

Franck DeCloquement

Ancien de l’Ecole de Guerre Economique (EGE), Franck DeCloquement est expert-praticien en intelligence économique et stratégique (IES), et membre du conseil scientifique de l’Institut d’Études de Géopolitique Appliquée - EGA. Il intervient comme conseil en appui aux directions d'entreprises implantées en France et à l'international, dans des environnements concurrentiels et complexes. Membre du CEPS, de la CyberTaskforce et du Cercle K2, il est aussi spécialiste des problématiques ayant trait à l'impact des nouvelles technologies et du cyber, sur les écosystèmes économique et sociaux. Mais également, sur la prégnance des conflits géoéconomiques et des ingérences extérieures déstabilisantes sur les Etats européens. Professeur à l'IRIS (l’Institut de Relations Internationales et Stratégiques), il y enseigne l'intelligence économique, les stratégies d’influence, ainsi que l'impact des ingérences malveillantes et des actions d’espionnage dans la sphère économique. Il enseigne également à l'IHEMI (L'institut des Hautes Etudes du Ministère de l'Intérieur) et à l'IHEDN (Institut des Hautes Etudes de la Défense Nationale), les actions d'influence et de contre-ingérence, les stratégies d'attaques subversives adverses contre les entreprises, au sein des prestigieux cycles de formation en Intelligence Stratégique de ces deux instituts. Il a également enseigné la Géopolitique des Médias et de l'internet à l’IFP (Institut Française de Presse) de l’université Paris 2 Panthéon-Assas, pour le Master recherche « Médias et Mondialisation ». Franck DeCloquement est le coauteur du « Petit traité d’attaques subversives contre les entreprises - Théorie et pratique de la contre ingérence économique », paru chez CHIRON. Egalement l'auteur du chapitre cinq sur « la protection de l'information en ligne » du « Manuel d'intelligence économique » paru en 2020 aux Presses Universitaires de France (PUF).

Voir la bio »

Atlantico : Ce vendredi, une cyberattaque "d'un niveau sans précédent" selon Europol a touché une centaine de pays, s’attaquant aussi bien à des hôpitaux qu'à des banques, en passant par Renault, la société américaine FedEx ou encore le ministère de l'Intérieur russe. Que s'est-il passé exactement ? Qu'est-ce que cela révèle des failles de sécurité existantes chez les multiples opérateurs directement concernés par cette attaque ?

Franck DeCloquement : "Oops, vos fichiers ont été chiffrés ! Beaucoup de vos documents, photos, vidéos, bases de données et autres fichiers ne sont plus accessibles car ils ont été chiffrés. Peut-être que vous êtes occupé à chercher un moyen de récupérer vos fichiers, mais ne gaspillez pas votre temps. Personne ne peut récupérer vos fichiers sans notre service de décryptage", indique le message intrusif qui s’affiche sur les écrans de toutes les machines qui ont été infectées… Souriez, vous venez d’être "cryptolocké" !

Les déclarations officielles, qui se succèdent depuis 48 heures dans le monde entier, sont en effet nombreuses et anxiogènes. Elles jettent aussi l’effroi chez le commun des mortels, stupéfié par l’ampleur et les conséquences possibles de cette action informatique malveillante de très grande ampleur : "L'attaque récente est d'un niveau sans précédent et exigera une investigation internationale complexe pour identifier les coupables", a immédiatement indiqué l'Office européen des polices Europol. "L'attaque serait de portée mondiale et toucherait des organisations en Australie, en Belgique, en France, en Allemagne, en Italie et au Mexique", ont repris de leur côté, les analystes de l'entreprise de sécurité informatique "Forcepoint Security Labs". Le Centre européen de cybercriminalité de l'Office européen des polices "collabore avec les unités de cybercriminalité des pays affectés et les partenaires industriels majeurs pour atténuer la menace et assister les victimes", a-t-il ajouté. L'unité opérationnelle conjointe d'action contre la cybercriminalité d'Europol, le "JCAT", un groupe international de cyber-enquêteurs, "est spécialement conçu pour apporter son aide dans de telles investigations et jouera un rôle important dans le soutien de l'enquête", a également précisé Europol.

Pour résumer les faits connus à cette heure, une "team pirate" a utilisé une faille repérée dans Windows, initialement découverte par les services de la célèbre National Security Agency américaine (NSA). Faille qui aurait, en outre, été divulguée dans des documents confidentiels qui ont été dérobés à l'Agence de sécurité américaine, puis publiés sur internet en mars 2017. La liste des pays touchés est vertigineuse, et les experts en cybersécurité n'ont guère de doute sur le fait que tous les incidents recensés à travers la planète sont liés. D’autant plus que dans de nombreux cas, les mêmes messages contenant une demande de rançon de 300 dollars payables en bitcoins (cette somme augmente d’ailleurs avec le temps), sont apparus sur les écrans des victimes de l’attaque. Dès samedi matin, on évoquait déjà plus de 99 pays visés par cette cyber-attaque, et de nombreuses entreprises ou services publics ont reconnu avoir été impactés ou avoir fait l'objet d'attaques informatiques. Plus de 75 000 attaques au total, et tout ceci, en moins de 24 heures…

De leur côté, les gouverneurs des Banques centrales des pays membres du G7 et les ministres des Finances, réunis ce samedi à Bari dans le sud de l'Italie, ont promis en marge de ce séminaire, de renforcer la cybersécurité globale de tous les établissements bancaires. Des organisations publiques, des entreprises ont ainsi été touchées aux Etats-Unis – à l’image du géant de livraison de colis FedEx – et au Royaume-Uni, mais aussi en Italie, en France, en Australie, en Espagne, à Taïwan, en Belgique, en Allemagne, au Mexique, en Chine ou bien encore en Ukraine… Mais la visibilité de l’agent infectieux peut être limitée ou encore incomplète à cette heure.

Outre FedEx, le constructeur automobile français Renault a indiqué faire partie des victimes qui ont été impactés par cette cyber-attaque. "Nous avons été touchés" a rapidement indiqué un porte-parole du groupe, en précisant que Renault était en train d'analyser la situation. "Une action est en place depuis vendredi soir. On fait le nécessaire pour contrer cette attaque", a-t-il précisé dans la foulée. Renault a depuis été contraint de stopper la production de certains sites de fabrication dont celui de Sandouville en France, mais aussi en Slovénie où la filiale du constructeur, Revoz, a interrompu la production de l’une de ses usines. Le parquet de Paris, qui a été saisi, a ouvert une enquête. Au fil des deux dernières nuits passées, la liste des victimes potentielles de la cyberattaque mondiale détectée vendredi par les autorités américaines et britanniques s'est allongée… Selon l’Agence nationale de la sécurité des systèmes d'informations (l'Anssi), Renault serait la seule victime française répertoriée à ce jour. Mais, il est "probable qu'il y ait d'autres victimes en France", même si ces dernières ne sont pas encore connues, annonce Guillaume Poupart, directeur général de l'Anssi. Et d'ajouter, en pérorant avec emphase sur l'accident de Tchernobyl et le périple capricieux de son nuage radioactif baladeur, "qu’il n'y a pas de raison que le nuage se soit arrêté aux frontières de l'Hexagone"… Un peu plus tôt, les chemins de fer allemands, la Deutsche Bahn, mais aussi le groupe Telefonica en Espagne, ont reconnu avoir été la cible de ces mêmes attaques informatiques. Si certains panneaux d'affichage en gare ont été impactés, la Deutsche Bahn a toutefois certifié que l'attaque n'avait eu, pour l’heure, aucun impact sur le trafic ferroviaire allemand.

En Russie, la Banque centrale a annoncé qu'elle avait détecté des attaques informatiques massives samedi, contre des banques russes qui étaient toutefois parvenues à les contrecarrer. La presse russe a par ailleurs indiqué que la société des chemins de fer nationaux avait également été prise pour cible, mais qu'elle était aussi parvenue à repousser ces cyber-intrusions. Ces actions informatiques malveillantes ont notamment touché le service public de santé britannique (NHS), parvenant par la même occasion à bloquer les ordinateurs d'une quarantaine d’établissements hospitaliers de Grande- Bretagne. "À ce stade, nous n'avons pas d'élément permettant de penser qu'il y a eu accès à des données de patients", a conclu la direction du service public de santé britannique.

Selon Edward Snowden, la NSA était au courant de la faille dans les systèmes Windows, à l'origine de cette cyber-attaque. Pensez-vous, comme l'a affirmé le lanceur d'alertes sur son compte Twitter que "S'ils avaient révélé l'existence de cette faille de sécurité lorsqu'ils l'ont découverte (...) tout cela ne serait pas arrivé" ?

L'ancien consultant de la NSA Edward Snowden, qui avait dévoilé en 2013 l'ampleur de la surveillance de l’agence de sécurité, a saisi cette occasion unique pour dénigrer à nouveau les pratiques de ses anciens employeurs sur Twitter : "Si la NSA avait discuté en privé de cette faille utilisée pour attaquer des hôpitaux quand ils l'ont 'découverte', plutôt que quand elle leur a été volée, tout ceci aurait pu être évité". Le ransomware "WannaCry" (également connu sous l’acronyme "WCry", "WCrypt" ou "Wana Decryptor") a donc impacté et compromis d’innombrables machines informatiques, et ceci dans le monde entier, entreprises et particuliers pouvant être identiquement impactés. "Il semblerait pourtant que la menace n'existe plus depuis que le 'kill switch' a été activé. 'WCrypt' vérifie l'existence d'un nom de domaine particulier avant de s'activer, et il se trouve que ce domaine a été justement activé", nous révèle un spécialiste du domaine. Goguenard, il ajoute : "Amusant de voir comment un bête ransomware se retrouve immédiatement transformé par la magie du marketing en ‘une attaque cyber’ de classe mondiale... Pour moi, une attaque, c'est ciblé... Hors ici, il n'y a pas de cible. Juste un bête virus". Pourtant, rien n’empêche les cybercriminels, ou de probables imitateurs patentés, de produire une nouvelle version de leur logiciel d’attaque, et de renouveler ainsi leur opération dès lundi matin. Au moment même où, de retour du week-end, des millions de personnels d’entreprises à travers le monde peuvent malencontreusement réactiver involontairement la contamination numérique. Tout est en effet envisageable.  

La spécificité de cette véritable "infestation numérique", selon les termes du spécialiste en intelligence stratégique, Sébastien Brouiller, associé chez SISCOM Partners, "est de ne pas se répandre classiquement, via l’ouverture intempestive d’un email infecté, mais bien de se répliquer toute seule en amont, à travers des machines corrompues, sans cibles prédéfinies au préalable". "L’objectif sous-jacent est évidemment criminel, indique-t-il, et a pour vocation immédiate de toucher le maximum de monde". "La motivation première étant bien entendue la collecte frauduleuse d’argent, car tout cela est finalement très lucratif pour les pirates, puisqu’en définitive, certaines victimes – parmi la multitude atteinte – payent, pour espérer recouvrer leurs données personnelles frauduleusement cryptées". La méthode est bien connue des experts en cyber-protection. Mais il est à noter qu’elle peut même être "réactivée" ou "reconduite" à travers une reprogrammation du logiciel malveillant initial, pour crypter à nouveau des documents à tout moment, sous une forme informatique renouvelée."Des questions se posent toutefois à ce sujet : comment est-il possible que des multinationales ou des grands groupes de taille mondiale aient été contaminés aussi facilement de la sorte, à travers leurs réseaux de machines ? Comment les DSI ont-ils intégré et géré cette menace pourtant connue via leur processus de veille et de due diligence ? Ce qui est très surprenant, c’est que les établissements qui n’ont pas été impactés étaient évidemment sur leurs gardes et s’attendaient d’ailleurs à cette attaque depuis quelques jours déjà !".Les entreprises visées étaient en réalité des établissements de moindre sécurité. "Les pirates ont d’ailleurs testé leurs cibles à travers plusieurs vagues d’actions malveillantes, entre les 24 et 27 avril dernier" nous indique un grand spécialiste, usant toutes d’un cryptolocker classique". Et dans ce registre, "les banques et les assurances sont des cibles ‘trips’ assez complexes"."Les établissements bancaires dépensent des dizaines de millions d’euros chaque année, et disposent d’équipes d’experts très conséquentes, pour barrer la route à ces intrusions malveillantes". "Nous avions pu analyser les vagues précédentes. Et nous avons donc décidé de donner la priorité maximum aux ‘patchs correctifs’ sur le business, pour ne pas se faire surprendre… En revanche, les industriels, ‘ce n’est que du bonheur’ pour les cybercriminels, selon l’expression consacrée. Leurs moyens ne sont pas comparables. Ce sont des cibles faciles" ironise-t-il. "À travers cette attaque, on a sans doute affaire à une ‘team’ agressive qui choisit ses victimes en fonction de leur vulnérabilité", a-t-il conclu.

Microsoft avait, en effet, publié un "patch de sécurité" en mars dernier. Une forme de "rustine" ou de "correctif" informatique pour colmater la faille de sécurité en amont sur les systèmes Windows. Pourtant, de très nombreux systèmes n'ont pas encore été mis à jour à travers le monde. Selon le spécialiste Tim Minkowsky, "le logiciel malveillant a été divulgué en avril dernier par le groupe de pirates connu sous l’acronyme ‘Shadow Brokers’, qui a affirmé avoir découvert cette faille informatique par le biais de la NSA"."Et contrairement aux habituels ransomwares, ce programme se répand directement d'ordinateur à ordinateur, sur des serveurs locaux, plutôt que par email", poursuit l’expert. "Précision, indique Minkowsky : ce n'est pas parce que le logiciel a été désactivé que les causes ont disparu ; dès demain une nouvelle version de la même chose peut être lâchée sur le monde, par les mêmes criminels ou d’autres groupes d’action, avec exactement les mêmes effets délétères que les précédents", sur le parc informatique mondial… "La faille est toujours là, prête à être de nouveau exploitée..."."Patchez vos machines, sauvegardez vos données importantes sur des supports déconnectés", insiste-t-il pour finir, en forme de conseil à l’usage des gens ordinaires.

Avec cette cyberattaque, avons-nous franchi un cran supplémentaire dans le niveau de la menace qui pèse sur nos vies numériques ? Qui pourraient être, in fine, les auteurs de cette attaque ?

L’ampleur de l’action est en effet peu commune, quant à son étendue et son mode d’action.La méthode utilisée est somme toute ingénieuse et assez originale, puisqu’elle facilite grandement cette contagion en moins d’une journée, à travers les réseaux mondiaux de machines connectées. Pour autant, la motivation qui préside à cette action semble elle assez classique : l’argent !

"Quant aux conséquences industrielles de cette attaque, elles seront lourdes de conséquences", nous rappel Sébastien Brouiller, expert en intelligence stratégique, associé chez SISCOM Partners. "Et notamment pour Renault qui a dû stopper la production dans plusieurs de ces usines en Europe (Sandouville en Normandie, l'usine de Novo Mesto en Slovénie, l'usine de Dacia Renault en Roumanie ainsi que l'usine britannique de Sunderland du constructeur japonais Nissan, partenaire de Renault). Bien que les usines s’apprêtent à redémarrer leurs activités dès lundi, ces arrêts de production intempestifs vont coûter quelques millions d’euros au constructeur français, à n’en pas douter. Un coup très rude compte tenu d’un contexte concurrentiel durci". D’autant que le risque systémique consécutif est là aussi très important. En effet, les dégâts seront collatéraux et affecteront dans une moindre mesure tout l’écosystème industriel du constructeur.L’existence d’une potentielle contamination, via un programme malveillant qui a la capacité de se propager par le réseau, sans qu’il ne soit nécessaire d’ouvrir de mail infecté est tout bonnement catastrophique dans l’industrie. "En effet, les usines sont toutes pilotées par ordinateur, y compris les outils de production tels que des bancs de test, des lignes automatisées, les ventilations pilotées, les outils de maintenance, les extracteurs de fumée en tous genres, etc. le système d’information reste indéniablement le poumon d’une usine. Un système d’information piraté ou corrompu informatiquement, et c’est tout l’écosystème qui est paralysé : tous les services sont de fait affectés en droite ligne : RH, gestion de production, maintenance, achat, approvisionnement, logistique, finance, qualité, engineering, R&D, production, etc…". La liste est longue nous rappel Sébastien Brouiller. "D’où l’urgence de vérifier l’ensemble des ordinateurs de l’usine pour procéder à des mises à jour d’urgence. Et cette tâche s’annonce ardue, quand on sait le nombre d’ordinateurs à vérifier dans une usine comme Sandouville" (plusieurs dizaines de milliers, ndlr).

Au-delà des systèmes informatiques, cette cyberattaque d’ampleur inégalée pose immédiatement la question de la gouvernance cyber dans l’ensemble des organisations, et de son management. Les spécialistes de l’intelligence économique sont unanimes sur le sujet : il est plus qu’urgent que les organisations se dotent d’une véritable structure IES. Elles devront maintenant s’adapter à la menace, et mettre au point un dispositif juridique qui leur permettra d’établir l’ensemble des préjudices subits lors d’une cyberattaque. Par ailleurs, bien que certaines assurances proposent des contrats spécifiques, ceux-ci sont-ils réellement suffisants pour couvrir le risque effectif et ses conséquences ?

En définitive, comment ne pas se faire piéger, in fine ? "Il est nécessaire de disposer des équipes compétentes dédiées à la détection, à l’investigation, à la re-médiation des processus. Une bonne hygiène du SI et des budgets suffisants sont évidemment des éléments-clefs pour ne pas se laisser surprendre". "Sinon c'est mort ! C'est une course permanente à l’armement. Le besoin de mettre en place en permanence, de nouvelles solutions de sécurité dédiées, est ici impérieux. Aucun répit n’est possible". Il est difficile, voire impossible de remonter jusqu’au bout la chaîne d’action pour parvenir aux acteurs malveillants, ayant conçu puis déployé cette affaire peu commune. Les vecteurs d’infections sont beaucoup trop nombreux. Idem pour le paiement en ligne de la rançon en Bitcoin. Mais ne doutons pas un seul instant que les polices du monde mettent d’ores et déjà tout en œuvre pour traquer les prédateurs responsables de cette action inédite, en s’appuyant sur les compétences des membres les plus aguerris d’Interpol et du FBI, entre autres chevalier blanc…

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !