La NASA attaquée par un ordinateur à 35 dollars : le terrorisme digital, c’est maintenant ?

Atlantico : Comment expliquer qu'un tel scénario se produise sur une institution clé comme la Nasa ? Ce scénario est-il possible en France ?

Jean-Paul Pinte : Aujourd’hui il faut se dire que plus rien n’est inattaquable et que les modes opératoires des cybercriminels vont plus vite que les temps de compréhension des personnes chargées de les résoudre ou encore de les prévoir.

Les modes d’ingénierie sociale sont aussi de plus en plus diversifiés et ont le plus souvent plusieurs pas d’avance sur ce que nous pourrions imaginer.

Des attaques de plus en plus sourdes seraient même décelées plusieurs semaines après leur passage à l’acte. Ce qui démontre parfois le décalage des structures chargées de prévenir ces dernières.

On parle aussi plus communément d’attaques par rebond, elles constituent une famille d'attaques de système d'information qui consistent à utiliser un ou des systèmes intermédiaires, participant à leur insu, et permettant à un assaillant de rester caché.

Les cyberattaqueurs cherchent à obtenir un accès non autorisé aux systèmes d’information d’une cible pour voler des données sensibles, perturber les opérations critiques d’une organisation, poursuivre des objectifs politiques ou financiers, ou simplement pour tester leurs compétences en piratage. Ces mauvais acteurs incluent des individus, des organisations de piratage informatique, des groupes criminels et des gouvernements étrangers.

La NASA, l'une des principales agences gouvernementales dans le domaine des sciences et de la technologie dans le monde, constitue une cible attrayante grâce à ses activités et à ses données sensibles relatives à la réglementation du trafic illicite des armes à feu, à la propriété intellectuelle, aux informations personnellement identifiables et aux données du système de vol présentant un risque pour la sécurité. Une infiltration potentielle dans les systèmes de vol spatial de la NASA pour acquérir les codes de lancement et les trajectoires de vol des engins spatiaux reste une préoccupation particulière des responsables de la sécurité des technologies de l'information (TI) de la NASA.

NASA ou pas, nul ne peut être épargné et il faut donc se préparer à des modes opératoires de plus en plus complexes et sophistiqués nécessitant de la part des services de protection une plus grande habilité et une obligation de mener une stratégie de renseignement d'intérêt cyber ou Cyber Threat Intelligence. Ceci correspond à la capacité à comprendre et analyser en permanence le niveau de menace informatique, et ainsi proposer à l’éco-système de confiance d’adapter sa ligne de défense.

Dans un document de l’Office of Audit de la  NASA du 18 juin 2019 intitulé « CYBERSECURITY MANAGEMENT AND OVERSIGHT AT THE JET PROPULSION LABORATORY » on peut lire que pour protéger les données, les applications et les systèmes d’une entreprise, les normes de l’industrie et les réglementations fédérales recommandent la mise en œuvre de contrôles et de processus de sécurité standard. L'Institut national des normes et de la technologie (NIST) a mis au point une structure complète, appelée Cadre pour l'amélioration de la cybersécurité des infrastructures essentielles, afin d'aider les agences à gérer les risques de cybersécurité et à garantir l'efficacité des contrôles de sécurité des ressources d'information. Le cadre met l'accent sur cinq fonctions spécifiques essentielles à un programme efficace de sécurité de l'information :

1. Identifiez les composants d’un réseau, y compris un inventaire des actifs physiques, de la connectivité et des ressources qui le prennent en charge.

2. Protégez le réseau en empêchant les utilisateurs non autorisés d'accéder sans autorisation à ses applications et à ses systèmes.

3. Vulnérabilités pouvant être exploitées par des utilisateurs non autorisés s’ils devaient accéder au réseau, par des intrusions d’utilisateurs non autorisés cherchant à exploiter les vulnérabilités d’un réseau et par des modifications de configuration et de codage exécutées par des utilisateurs non autorisés.

4. Répondre rapidement et efficacement aux intrusions pour arrêter et contenir l'exploit de manière à correspondre au niveau de menace qu'il représente.

5. Récupérez les systèmes et les applications affectés par les attaques, y compris la communication d’incidents et la reconfiguration du réseau afin d’empêcher des attaques répétées.

Ensemble, ces fonctions fournissent une vue stratégique du cycle de vie du programme de gestion des risques de cybersécurité d’une entreprise et garantissent la mise en place de contrôles de sécurité en place. la confidentialité, l'intégrité et la disponibilité des données, des applications et des systèmes d'une organisation.

Le niveau des attaques ne repose donc plus uniquement sur le seul critère de la puissance du matériel utilisé et il est bien sûr évident que ce genre d’attaque pourrait sans aucun problème arriver en France.

L’assaillant a utilisé ici pour son méfait un mini-ordinateur coûtant 35 dollars et baptisé Raspberry Pi, de la taille d’une carte de crédit et qui se branche sur les télévisions. Il est surtout utilisé par des enfants des pays en développement pour apprendre à coder. Selon des experts extérieurs à l'ICANN interrogés par l'AFP, les pirates ciblent aussi bien des gouvernements que des services de renseignements ou de police, des compagnies aériennes ou l'industrie pétrolière, et ce au Moyen-Orient ou en Europe.

Pour l'essentiel, ces attaques qui prolifèrent s'attaquent à l'infrastructure internet elle-même et consistent à remplacer les adresses des serveurs" autorisés par des adresses de machines contrôlées par les attaquants. Ce qui permet aux pirates de fouiller dans les données (mots de passe, adresses mail etc.) sur le chemin voire de capter complètement le trafic vers leurs serveurs.

Dans son rapport 2018, l'ANSSI fait état d'une cybermenace plus forte que jamais en France et d'une professionnalisation de la cybercriminalité. Les Opérateurs d'importance vitale (OIV), entreprises dont les activités sont jugées d'une importance stratégique pour la nation, ont-elles une culture de la cybersécurité assez forte selon vous ?

C’est l’ANSSI qui est chargée de régler les problèmes de menaces informatiques pour les plus de 200 Opérateurs d’Importance Vitale (OIV) en France. La prise de conscience est progressive pour ces derniers mais ne peut laisser croire aujourd’hui qu’il y ait une méconnaissance du risque cybercriminel.

La sécurisation numérique des opérateurs d’importance vitale (OIV) s’insère en effet dans une construction d’ensemble partant du Livre blanc de la défense et de la sécurité nationale et de la loi de programmation militaire qui prévoient des référentiels de sécurité édictés par l’État pour les systèmes d’information critiques comme le précise un rapport de l’Assemblée Nationale en 2015.

Elle tend à améliorer la détection des attaques informatiques grâce à des systèmes exploités sur le territoire national par des prestataires qualifiés et de notifier toutes les attaques informatiques à l’ANSSI et aux autorités de régulation compétentes dans leur secteur, comme l’Autorité de sécurité nucléaire (ASN), par exemple.

En outre, la loi de programmation militaire de 2013 a prévu :

– le droit pour le Premier ministre d’imposer des règles de sécurité aux systèmes d’information critiques des opérateurs d’importance vitale, par exemple l’installation de systèmes de détection d’attaque labélisés par l’ANSSI ;

- la notification obligatoire au Premier ministre de certains incidents de sécurité ;

- la mise en place de contrôles de sécurité effectués discrétionnairement sur ordre du Premier ministre, et aux frais des opérateurs, par l’ANSSI ou des prestataires qualifiés par elle ;

- enfin, en cas de crise majeure, le Premier ministre peut décider des mesures que les opérateurs doivent mettre en œuvre ;

Après une période de concertation au cours de l’année 2014, des mesures devaient être mises en place au 1er janvier 2015 selon des agendas adaptés à chaque secteur d’activité d’importance vitale. De plus, les systèmes d’information critiques des OIV doivent faire l’objet de contrôles. Enfin, en cas d’attaque majeure, ces opérateurs devront mettre en œuvre toute mesure de défense informatique décidée par le Premier ministre.

Ces attaques informatiques majeures sont aujourd’hui considérées par les OIV avec autant d’attention qu’un état de guerre, de terrorisme ou des actes d’espionnage mais il faut noter que l’application de ces règles peut rencontrer des difficultés dans la mesure où la liste des OIV étant classifiée « confidentiel défense », certains dirigeants et, a fortiori leurs personnels, ne sont pas toujours au courant du statut d’OIV de leur entreprise et ne peuvent donc avoir qu’une conscience limitée des enjeux de sécurité nationale liée à son activité. Comme l’entreprise doit s’organiser eu égard aux états de crise numérique envisagés, elle doit commencer par indiquer clairement à l’ANSSI les personnes constituant des points d’entrée dans l’entreprise afin que la gestion de l’attaque ne soit pas déficiente dès les premières minutes. En effet, il est essentiel que les dirigeants de l’entreprise comprennent immédiatement le caractère vital de la menace exercée à leur encontre.

Le même rapport de l'Assemblée Nationale signale aussi que jusqu’alors, en cas de crise numérique, les entreprises n’avaient pas tendance à se tourner vers l’État car il n’existait ni partenariats ni, a fortiori, d’exercices de crise entre elles et l’ANSSI.

Désormais, les entreprises devront davantage étudier les interdépendances existant entre elles et leurs sous-traitants et fournisseurs. De plus, il n’est pas toujours aisé de déterminer le type d’attaques qui aura le plus d’impact sur telle ou telle entreprise. Il est important que les OIV mettent en place des systèmes de détection qualifiés mais les systèmes de détection actuels étant majoritairement nord-américains, un problème de souveraineté se pose.

L’ANSSI pourrait d’ailleurs aider les entreprises vers une prise de conscience en les assistant à s’entraîner pour tester leur matériel à partir de la détection d’incidents passés non répertoriés officiellement ; Enfin, de grandes entreprises seront peut-être considérées comme des OIV en France et également, ou non, à l’étranger, ce qui peut compliquer les règles à leur appliquer selon le territoire considéré.

Comment juger l'avenir de la menace cyber en France ? Les investissements (capital et humain) suivent-ils son développement ?

Selon Microsoft plus de 8 entreprises sur dix ont été visées par une cyberattaque en 2015, 5 à 10 % du budget global de l’entreprise devrait être alloué à la cybersécurité, se remettre d’une violation de sécurité coûte en moyenne 800 000 euros, la résolution de problèmes techniques dus à une cyberattaque est particulièrement chronophage et nécessiterait en moyenne 9 semaines, 35 % des incidents sont générés par des collaborateurs internes à l’entreprise.

De plus le temps de détection d’une cyberattaque ne serait pas décelé de suite et à l’heure où j’écris cet article on apprend qu’une cyberattaque massive a ciblé des opérateurs télécoms pendant 7 ans !

Le cabinet d'études Juniper Research a publié en 2018 des chiffres vertigineux sur les dépenses que génèrerait la cybersécurité. En raison des attaques informatiques, 134 milliards de dollars pourraient être perdus chaque année d'ici 2022.

Les rapports annuels sur la cybersécurité ne manquent pas comme celui de l’ANSSI, de Symantec , de Fireeye, de Cisco, … Ils visent tous à veiller sur un florilège d’attaques et une adaptation aux nouvelles formes d’agression numérique qui nous attendent et qui ont déjà pris place comme celles des objets connectés et de l’intelligence artificielle.

De ces rapports on peut retirer qu’Il existe à ce jour 4 grands types de risques cyber aux conséquences diverses, affectant directement ou indirectement les particuliers, les administrations et les entreprises : la cybercriminalité, l’atteinte à l’image, l’espionnage, le sabotage.

De gros efforts ont été faits par la France pour investir dans la recherche et la protection des particuliers comme des entreprises et états. De même, un accent a été mis ces dernières années sur la construction de la confiance dans un futur numérique interconnecté et sur des modes de résilience adaptés aux entreprises pour les amener progressivement à une prise de conscience.

De nombreuses formations sont aussi nées de ces menaces afin de permettre aux entreprises de veiller et de s’adapter au contexte cybercriminel ambiant. Elles visent maintenant à sensibiliser les acteurs de notre société contre de nouvelles pratiques destructrices se développent dans le cyberespace : utilisations criminelles d’internet (cybercriminalité), y compris à des fins terroristes, propagation de fausses informations ou manipulations à grande échelle, espionnage à visée politique ou économique, attaques contre les infrastructures critiques (transport, énergie, communication…) à des fins de sabotage, etc.

Le numérique est donc désormais un enjeu de premier ordre pour notre politique étrangère et pour l’action publique dans son ensemblecomme le précise le site Diplomatie.gouv.fr.

Dès 2015, la France s’est dotée d’une Stratégie nationale pour la sécurité du numérique. Destinée à accompagner la transition numérique de la société française, elle répond aux nouveaux enjeux nés des évolutions des usages numériques et des menaces qui y sont liées. Elle met en avant cinq lignes d’action :

• Garantir la souveraineté nationale ;
• Apporter une réponse forte contre les actes de cybermalveillance ;
• Informer le grand public ;
• Faire de la sécurité numérique un avantage concurrentiel pour les entreprises françaises ;
• Renforcer la voix de la France à l’international.

Présentée par le ministre de l’Europe et des Affaires étrangères le 15 décembre 2017, la stratégie internationale de la France pour le numérique constitue désormais le cadre de référence et la feuille de route diplomatique des années à venir.

Elle s’articule autour de trois grands axes : gouvernance, économie, sécurité.

• Promouvoir un monde numérique ouvert, diversifié et de confiance
• Promouvoir un Internet européen fondé sur l’équilibre entre libertés publiques, croissance et sécurité dans le monde numérique
• Renforcer l’influence, l’attractivité et la sécurité de la France et des acteurs français du numérique

Cette stratégie a par la suite été étoffée par :

• La Stratégie internationale de la France pour le numérique
  Présentée par le ministre de l’Europe et des Affaires étrangères en décembre 2017, ce texte synthétise l’ensemble des orientations stratégiques que la France promeut dans le monde numérique autour de trois piliers : gouvernance, économie, sécurité.

• La Revue stratégique de cyberdéfense
  Confiée par le premier ministre au secrétaire général de la défense et de la sécurité nationale et présentée en février 2018, elle définit une doctrine de gestion des crises cyber. Cette revue clarifie les objectifs d’une stratégie nationale de cyberdéfense et confirme la pertinence du modèle français et la responsabilité première de l’État en la matière.

Aux niveaux techniques et opérationnels, divers acteurs contribuent à l’efficacité du dispositif français :

• Créée en 2009, l’Agence nationale de sécurité des systèmes d’information (ANSSI) est l’autorité nationale en matière de cybersécurité. Véritable « pompier » du cyberespace français, elle est chargée de la prévention (y compris en matière normative) et de la réaction aux incidents informatiques visant les institutions sensibles. Elle organise par ailleurs des exercices de gestion de crises au niveau national. L’ANSSI embauche aujourd’hui 600 personnes et continue de croître.

• Le ministère des Armées a la double mission d’assurer la protection des réseaux qui sous-tendent son action et d’intégrer le combat numérique au cœur des opérations militaires. Afin de consolider l’action du ministère dans ce domaine, un commandement de cyberdéfense (COMCYBER), placé sous les ordres du chef d’État-major des Armées, a été créé début 2017.

• Le ministère de l’Intérieur a pour mission de lutter contre toutes les formes de cybercriminalité, visant aussi bien les institutions et les intérêts nationaux, les acteurs économiques et les collectivités publiques, que les particuliers. Il mobilise à cette fin les services centraux spécialisés et les réseaux territoriaux de la police nationale, de la gendarmerie nationale et de la sécurité intérieure. Ceux-ci sont chargés des enquêtes visant à identifier les auteurs d’actes de cybermalveillance et à les déférer à la justice. Ces services contribuent en outre à la prévention et à la sensibilisation des publics concernés.

Au sein de l’Union européenne (UE), la France défend une vision ambitieuse et le concept « d’autonomie stratégique numérique de l’UE », gage de notre capacité collective d’initiative et d’action. Cet objectif se décline en trois axes :

• Axe technologique 
  La politique industrielle de l’Union européenne soutient les capacités de recherche et développement de pointe afin de favoriser le déploiement de technologies et de services numériques de sécurité, dont la fiabilité doit pouvoir être évaluée. L’intégration de la sécurité dans l’ensemble des composantes numériques permettra également de donner un avantage concurrentiel aux offres européennes.

• Axe réglementaire
  La politique extérieure de l’Union européenne doit définir des réglementations prenant en compte les exigences de compétitivité et les potentialités du numérique tout en restant protectrices des citoyens, des entreprises, des États membres, conformément à nos valeurs communes (droit à la vie privée et protection des données à caractère personnel, protection des infrastructures critiques).

• Axe capacitaire
  L’Union européenne a un rôle essentiel dans la promotion et le soutien au développement des capacités de cyberdéfense des entités publiques et privées au sein des États membres ainsi que des institutions européennes elles-mêmes, en s’appuyant sur des savoir-faire européens. Elle peut également apporter son soutien dans les domaines de la formation et de l’entraînement, ce qui crée des synergies et évite les redondances de capacités.

Au-delà de ces différentes dimensions, il apparaît nécessaire de renforcer la coopération opérationnelle entre les États membres de l’Union européenne.

On peut néanmoins constater qu’aucun capital dans ce secteur n’a été levé en France en 2018 contrairement aux 600 millions de dollars en Israël et 8,2 milliards de dollars  aux USA.  D'après Preqin, les fonds hexagonaux sont quasi absents du marché de la cybersécuritédepuis un pic franchi il y a deux ans (1,3 milliard).

Pour compléter cette interview :

Infographie sur la cybersécurité

http://www.globalsecuritymag.fr/Selon-une-nouvelle-etude-Accenture,20190522,87366.html

https://www.village-justice.com/articles/etat-menaces-liees-cybercriminalite,29107.html