Forum international de la cyber-sécurité : les 8 menaces informatiques de 2014

La manipulation de données gouvernementales

Jean-Paul Pinte : A l’heure du Web 2.0 et des réseaux sociaux les informations vont et viennent sur la toile sans que nous puissions prendre le temps de les trier, les analyser, les comparer, les valider pour s’assurer de leur provenance et surtout de leur pertinence. Et pourtant ces informations, objets d’écrits parfois anonymes altèrent aujourd’hui les documents diffusés sur Internet, déforment les faits et sont parfois l’objet de graves mensonges allant jusqu’à faire et défaire nos réputations sur la toile et dans la vraie vie. La désinformation est réelle et il est important de savoir qu’elle n’est plus aujourd’hui le simple fait de personnes de mauvaise foi mais bien souvent de personnes qui se contentent de répéter, de déformer parfois ce qu’ils ont entendu dire tout en donnant l’air de connaître et de maîtriser le sujet.

La manipulation de l’information peut aussi être un acte volontaire et conscient de déformation des faits dans le but de nuire. Elle peut être aussi l’occasion de détourner l’attention tout en donnant du relief à des informations banales et en cachant bien sûr l’essentiel.

A l’heure d’une cybercriminalité galopante et d’un journalisme qui cherche à trouver sa place dans le traitement pertinent de l’information, les exemples d’attaques et de dénis informationnels ne manquent pas. Les gouvernements n’échapperont pas aux nouvelles formes de manipulation de données. L'Open Data va nous emmener de plus en plus vers une manipulation des données, qu’elles soient de santé, personnelles ou professionnelles, ou encore chiffrées, sur chacun d’entre nous. Ce risque a vu ses premiers effets se produirent avec la dématérialisation de notre administration.

Le nombre d'usagers et celui des informations confidentielles étant appelés à augmenter, des petites plateformes de divulgation de secrets (comme Wikileaks) risquent de jaillir, ainsi que la technique de l'obfuscation qui consiste à publier des masses d'informations pour noyer celles qui dérangent.

Pour consulter l'étude menée par Watchguard, voir ici (version anglaise)

Nicolas Arpagian : La numérisation des données permet une possible prise de contrôle à distance des systèmes d’information. Soit pour obtenir des sommes d’argent ou des privilèges indus, ou pour modifier des informations qui doivent servir à prendre des décisions. Le fait même d’instiller un doute quant à l’intégrité des données étudiées est aussi un moyen de déstabiliser l’institution visée. Car il sape peu à peu l’autorité de celle-ci et le crédit que le public lui porte. La défiance ainsi suscitée peut constituer un élément de perturbation majeur. Dès lors que l’entité victime a besoin de la considération des personnes dont elle a la charge (opinion publique, électorat, clientèle…). En plus, cela mine la crédibilité de l’État, puisque ses services apparaissent démunis face à des assaillants qui déploient des capacités très créatives.

Cette manière de manipuler des données gouvernementales peut se révéler très efficace quand on cherche à faire passer dans un autre camp les quelques pourcentages d’électeurs qui peuvent faire basculer un scrutin dans le camp opposé. On se rappelle lors du "Climategate" la publication opportune de correspondances d’universitaires britanniques qui échangeaient entre eux de l’opportunité d’aggraver délibérément leurs résultats de recherche afin d’influencer les chefs d’Etat et de gouvernement. La fuite de ces courriels a servi à faire douter les opinions publiques occidentales sur la véracité des messages qui leur parvenaient.

L'explosion des kidnappeurs numériques (ransomwares) comme CryptoLocker

Nicolas Arpagian : On recense de plus en plus de ces modes opératoires qui consistent à pénétrer un système informatique. De crypter ou de rendre inaccessibles un certain nombre de données et d’envoyer un message exigeant le versement d’une rançon pour obtenir qu’elles soient à nouveau disponibles. C’est le cas de CryptoLocker qui demande à payer la rançon en bitcoins, la monnaie numérique anonyme afin de ne pas se faire prendre par les services de police au moment de récupérer l’argent. Le chantage est un mode opératoire très ancien qui s’adapte à l’ère numérique et à la fluidité des échanges financiers. La difficulté vient du fait que toutes les entités disposant d’informations numérisées (comptables, R&D, fichiers commerciaux…) sont autant de cibles potentielles. Leur méconnaissance de cette menace et les multiples possibilités de pénétration rendent très difficiles la lutte contre de telles pratiques. Qui peuvent être menées à très longue distance et de manière automatisée, donc à grande échelle.

Jean-Paul Pinte : Encore vu sous l’angle de la paranoïa il y a quelques années, le kidnapping numérique occupe une place de plus en plus importante. Au second trimestre 2013, McAfee avait identifié 320 000 nouveaux échantillons de ce type de malware, un "chiffre record". La seconde moitié de l’année fut marquée par l’apparition, début septembre, de CryptoLocker, un cheval de Troie qui se diffuse via des mails infectés, principalement dans les pays anglophones. Il est déguisé en factures UPS/FedEx ou en messages bancaires. Une fois installé, il chiffre les données personnelles par une clé RSA 2048 bits, stockée sur des serveurs pirates.

Les rançongiciels (ransomwares) sont une catégorie particulière de logiciels malveillants qui bloquent l’ordinateur des victimes et réclament le paiement d’une rançon. Il ne faut jamais payer la rançon réclamée. Le site stopransomware.fr regroupe un ensemble d’informations pour sensibiliser les usagers et aider les victimes à se protéger contre ces risques, voire à nettoyer leurs ordinateurs lorsqu’un tel virus les a touchés. Ces types de cybercriminalité relèvent de plus en plus du ressort de l’ingénierie sociale qui consiste à user de la faiblesse psychologique d’une personne, voire de sa naïveté pour lui soutirer des données, mais surtout lui extorquer de l’argent. L'arnaque aurait rapporté 5 millions de dollars aux cybercriminels. En france, 1400 plaintes avaient été déposées en 2012.

Cyber-attaque visant à provoquer une catastrophe (198 tentatives recensées en 2012 aux Etats-Unis)

Jean-Paul Pinte : Là aussi il faut penser et envisager toutes sortes de cyber-attaques, même si souvent on a du mal à imaginer le pire en ce domaine, et surtout à citer des exemples concrets.

Après la Chine, l'Iran... D'après le New York Times et le Wall Street Journal, des cyber-attaques visant des systèmes informatiques d'infrastructures énergétiques américains seraient à l’œuvre. Les hackers s'en prennent notamment à des systèmes de contrôle des pipelines de pétrole et de gaz, et des réseaux de distribution d'énergie aux Etats-Unis.

L’avenir du (cyber) terrorrisme aura une nouvelle portée qui pourra toucher demain nos systèmes de transport, le réseau électrique, bref tout ce qui touche aux systèmes vitaux. L’exemple de Stuxnet n’en est qu’un avertissement et comme pour l’évolution de l’Internet aujourd’hui nous sommes incapables d’imaginer cette faisabilité. L’avènement de hackers-terroristes n’est donc plus loin et les sociétés devront s’assurer à l’avenir contre ces risques. Allianz Global Corporate & Specialty SE (AGCS) et Thales se sont d’ailleurs associés pour une offre globale contre la cybercriminalité.

Nicolas Arpagian : Les Etats-Unis ont déjà recensé des prises de contrôle à distance de centrales nucléaires ou de systèmes de climatisation de blocs opératoires. Dès lors que l’informatique est présente et que des dysfonctionnements peuvent causer des troubles et des dégâts, la seule limite semble être l’imagination en termes d’agression. En effet, nombre de ces systèmes industriels n’ont pas initialement été conçus dans une logique de sécurité, mais plutôt selon des critères de facilité d’usage, de déploiement… et de modicité de coût. L’exposition au risque est encore accrue quand les personnes à la manœuvre sont d’anciens salariés ou des fournisseurs indélicats, tous très familiers des systèmes d’information des cibles concernées.

L'arrivée du hacking sur l'Internet des objets

Nicolas Arpagian : Dès lors que l’on va donner une relative autonomie numérique à nombre d’objets du quotidien (électroménager, voiture, maisons intelligentes, appareils médicaux…) il est prévisible que des tentatives de prise de contrôle à distance surviendront. C’est pourquoi il ne faut pas aborder cette numérisation avec une bienveillance béate mais bien prévoir des dispositifs manuels qui permettent un suivi étroit et de restaurer le pilotage d’équipements infectés. Le tout-automatique peut être un facteur d’amplification des dégâts dès lors que les seules machines seraient à même d’intervenir sans possibilité de stopper mécaniquement le déroulé de leurs opérations. Ces interconnexions sont autant de points de faiblesse qui peuvent favoriser la pénétration informatique. 

Jean-Paul Pinte : Ceux qui prévoyaient le Web 4.0 (Internet des objets) dans les années 2020 n’ont plus qu’à se rendre à l’évidence. Nous y sommes déjà. “Les objets connectés, ce n’est pas demain, c’est aujourd’hui, Ce n’est pas de la science-fiction mais la réalité. Les barrages, les usines, les feux rouges, tout est connecté” (Les Inrocks, 20/01/14).Tout va être interconnecté, c'est vrai et cela a commencé depuis que nous utilisons nos smartphones et assurons nos pérégrinations sur la toile. Toutes les brides d’information véhiculées et laissées à jamais sur Internet sont autant de données intelligentes pour ces objets qui s’apprêtent à nous (dé)servir. Les puces à haute fréquence sont en effet en phase de s’implanter partout et vont venir se coupler à tout notre environnement.

Les zombies du futur ne sont donc plus les PC, ni les terminaux mobiles, mais les objets connectés autour de nous : routeurs, serveurs multimédia, réfrigérateurs, téléviseurs, etc. Peu sécurisés - et bientôt très nombreux - ils représentent un risque de sécurité énorme, à en croire un article portant sur le botnet d’objets connectés. Si l'on a droit à l'oubli dans le Web 2.0, qu'en est-il de notre droit au silence des puces pour ces objets connectés ?

Attaque d'un maillon faible pour cibler des haut-responsables politiques ou économiques

Jean-Paul Pinte : On peut ici vraiment parler d’ingénierie sociale, évoquée plus haut, en vue de cibler des hauts-responsables politiques et économiques. Cela ne touche plus uniquement les internautes mais va bien plus loin aujourd’hui avec des méthodes allant au-delà de notre imagination. Le facteur humain est au cœur de cette ingénierie sociale et tout est fait avec l’art de faire en sorte que les personnes se conforment à vos souhaits et l’exploitation des faiblesses du comportement humain (ignorance, naïveté, désir de se faire apprécier ou reconnaître…). Il existe plusieurs vecteurs d’attaques possibles pour un manipulateur voulant arriver au maillon faible :

• 1. Internet
• 2. La téléphonie
• 3. L’approche directe
• 4. Le reverse social engineering [i]
• 5. La fouille des poubelles

Chacun de ces vecteurs peut être utilisé pour exploiter une des "failles" humaines présentées précédemment, et combiné avec d’autres vecteurs. Ce qui est le pire à gérer dans cette situation de maillon faible pour de hauts responsables de tout bord, c’est que le plus souvent ils ont des intermédiaires dans le cadre de leurs activité, et qu’ils sont loin de toutes ces méthodes menées par des personnes mal intentionnées !

[i] Le reverse social engineering (RSE) est une situation dans laquelle la victime fait l’approche initiale. Dans ce cas de figure, le manipulateur est perçu comme une aide par sa cible. Ainsi, il paraît naturel pour la cible de poser des questions mais également de donner de l’information.

Nicolas Arpagian : L’ingénierie sociale est plus que jamais la technique employée pour venir à bout de systèmes de sécurité de plus en plus robustes. Faute de pouvoir briser une porte blindée on prend le temps de l’observation de sa cible pour identifier l’endroit où elle cache ses clés. De manière à entrer sans effraction et à se jouer des défenses numériques. C’est ainsi que les messageries électroniques de collaborateurs de la Direction du Trésor à Paris ont pu être infectées alors qu’ils avaient en charge le secrétariat général du G8. Plus la période d’observation est longue, plus elle permet d’identifier les bonnes personnes et de connaître le mode opératoire qui peut permettre de mener son intrusion à l’insu de sa cible. Ce qui est primordial en matière de vol d’informations, car cela exige que la victime ignore tout de son état de victime et ne change rien à ses pratiques et à ses habitudes. De manière à assurer au pirate de conserver son avantage concurrentiel.

L'accroissement de la nocivité des virus (malwares)

Nicolas Arpagian : C’est surtout la diversité des malwares qui semble ne pas devoir connaître de limites. Les vecteurs de diffusion collent en général à l’actualité (appel aux dons après une catastrophe climatique, faux comptes sociaux après les attentats de Boston…). De plus, des places de marché de maliciels mettent à la disposition des plus offrants des outils intrusifs ou de destruction numérique. Un nombre croissant de nos équipements et de nos richesses étant sous la forme informatique, les malwares peuvent nous atteindre avec des attaques de très grande ampleur. Rendant de facto ces arsenaux numériques de plus en plus nocifs.

Jean Paul Pinte : Selon Kaspersky Lab, 4,6 millions de malwares et 11,7 millions d’attaques sur les jeux vidéo PC ont été menées au cours de cette année 2013, dans le monde. Voici les chiffres concernant l’Europe, avec une position bien inquiétante pour la France avec ses 47 065 attaques et tentatives d’attaques en 2013. Kaspersky Lab affirme par ailleurs que cette cybercriminalité vise à nourrir le marché des logins et mots de passe pour alimenter les pirates des informations des joueurs qui sont récupérées directement via les serveurs des constructeurs et éditeurs de jeux vidéo PC. Aujourd’hui, les malwares sont des menaces puissantes et sophistiquées. Leur objectif n’est pas de détruire mais bien d’espionner et de subtiliser furtivement des informations sensibles. De plus en plus, ces attaques ne sont plus uniquement perpétrées par des hackers, mais il semble que les entreprises et les Etats utilisent les malwares à différentes fins, comme l’espionnage industriel ou l'espionnage d’Etat, le contre-espionnage ou le sabotage. Stuxnet, DuQu et Flame en sont les meilleurs exemples ces derniers mois.

La Russie serait devenue le centre du marché mondial du cybercrime, avec une palette complète de "services", à des prix défiant toute concurrence : malwares, botnets, prestations de hacking, etc. Largement de quoi mettre à mal notre sécurité informatique. Toujours selon le blog Panoptinet.com, les "services" les plus en vogue concernent les menaces envers les appareils mobiles, notamment sous Android : plus vulnérables que les ordinateurs, les appareils mobiles sont généralement moins protégés, allumés en continu, et gorgés d’informations personnelles qui aiguisent l’appétit d’applications malveillantes. 2013 aurait ainsi vu pas moins de 250 000 applications frauduleuses.

Le développement des techniques de persuasion psychologique comme le phishing

Jean-Paul Pinte : Le phishing ne date pas d’hier mais reste à ce jour l’une des techniques de persuasion les plus utilisées après les virus.Selon une étude du fournisseur de solutions de sécurité en cloud Trend Micro, 9 attaques informatiques ciblées sur 10 seraient imputables au "spear fishing", une méthode d'ingénierie sociale reposant sur la prospection et l'utilisation d'informations recueillies sur une personne cible, afin de perpétrer une attaque au moyen d'un email trompeur.

EDF a reconnu en 2012 une attaque de type phishing de très grande ampleur qui visait ses clients depuis août 2012. C'est sans doute une première en France : un message dans un français assez correct reprenant scrupuleusement la charte graphique d'EDF. Il faut lire avec attention le mail pour détecter des anomalies typographiques, syntaxiques et même des fautes d'orthographe. En objet, un inquiétant "Votre Prélevement bancaire a été refusée par votre banque", ou pire parfois, un "Suspension de votre contrat EDF", surtout en découvrant le logo EDF dans le corps du message. Les idées ne manquent pas chez les cyberdélinquants et les techniques seront de plus en plus sophistiquées, voire couplées au nomadisme et aux objets connectés, qui ne manqueront pas d’arriver dans nos vies déjà  numériques.

Nicolas Arpagian : Le traitement à distance de nos correspondances professionnelles, de nos moyens de paiement et de nos engagements contractuels via la signature électronique suscite assez logiquement des opérations d’usurpation d’identité. Pour les mener à bien, il convient de capter le maximum de données sur les individus que l’on souhaite pirater. Qu’il s’agisse de personnes ciblées ou de profils plus communs qui serviront le cas échéant comme prête-nom par exemple dans une escroquerie plus vaste. Ou pour endosser temporairement une identité dans une campagne d’extorsion ou de chantage.

On peut donc être victime car on a été préalablement ciblé. Mais aussi, à l’instar de la pêche avec des filets dérivants, lors d’opération de grande ampleur visant à collecter massivement des données.

Des dispositifs de défenses mal construits

Jean-Paul Pinte : Rares sont les structures qui racontent ce qui leur est arrivé et ce qu’elles ont pu vivre à la suite d'une une attaque cybercriminelle ou d'une simple intrusion.  Elles seraient à peine 10 %.

Connaître la typologie des attaques possibles, prévoir les conditions adaptées à cette connaissance des risques n’est pas encore dans la culture de toutes les entreprises. Seules les grandes semblent commencer à mesurer les risques encourus et surtout les incidences sur la survie de l’entreprise. Dans les autres, c’est souvent quand surgit le problème que l’on se pose les questions.

Se préparer, anticiper les risques nécessite une sensibilisation de tout le personnel à l’ingénierie sociale et au management de l’information. Tous les exemples cités démontrent bien ici que  bien souvent, c’est l’humain qui est le maillon faible, et pas la machine ni la technologie. Ce texte évoque bien le manquement des entreprises face à leurs véritables responsabilités, tout en dressant une typologie des risques et en proposant des solutions adaptées.

Nicolas Arpagian : L’informatique historique n’a pas été conçue en faisant de la sécurité une priorité. Le coût des infrastructures, leur performance et leur déploiement étaient les critères premiers. Le piratage étant souvent perçu comme une menace théorique, voire folklorique. En période de disette économique, il faut être très convaincant pour expliquer que l’on doit mobiliser des ressources financières et techniques pour, au final, simplement continuer à utiliser les infrastructures. L’expérience passée d’années où les attaques n’étaient pas ressenties comme un péril n’a pas permis de faire une éducation des esprits à la notion de prix de la sécurité.

De la même manière, il faut sans doute rappeler que cette sécurité peut exiger parfois de rompre avec le discours ambiant sur la disponibilité partout et tout le temps des données et d’une connexion au réseau. Surtout si ces accès doivent se faire au détriment de la sécurité et de la confidentialité. Il faut sans doute admettre que la protection du patrimoine informationnel peut exiger certaines pesanteurs de procédure. Malgré les facilités d’accès et la communication publicitaire tous azimuts sur des tablettes connectées à des wi-fi publics de chaînes de restauration rapide. La préservation de l’information, qui est un actif stratégique de nos économies de la connaissance, peut être à ce prix.