Nous ne pouvons plus rester dans une vision simpliste de la cybersécurité. Notamment en dépensant sans compter dans l’espoir de couvrir globalement nos risques. Les attaques « ciblées » ne sont plus si extraordinaires qu’elles ne l’étaient. En effet si nous la définissons seulement comme étant une opération demandant un minimum de sophistication et d’adaptation pour s’introduire Dans nos systèmes d’information. Si nous comprenons qu’un attaquant patient s’introduira par étape au plus profond de nos systèmes d’informations avec suffisamment de furtivité. Alors nous révélons le fait que l’exaction et le méfait gagnent très fortement en sévérité.
Mais qui peut vouloir nous viser ? pourquoi nous ? Car vous êtes connecté et scanné et qu’à n’importe quel moment vous pouvez devenir une aubaine. Désormais ce niveau de sophistication devient une nouvelle norme.
Au delà de la prédication chamanique, plongeons dans les actualités récentes. Et découvrons ensemble l’ère moderne des APT industrialisées ou les attaques à ciblage opportunistes.
2017 – Petya/notPetya
Quel est le point commun entre le second malware le plus médiatisé de l’année 2017 (Not/petya) et un éditeur de logiciel comptable ukrainien ?
Le 27 Juin 2017 après les vagues de Wannacry et adylkuzz (moins populaire et pourtant très contagieux), apparaissait un petit nouveau. D’abord défini comme Ransomware. Celui-ci a été rapidement reclassifié, il est un Wiper en ceci qu’il sabote irrémédiablement vos volumes de données logiques (disques durs). Et même s’il vous propose de payer une rançon, vous ne pourrez pas retrouver vos données …
Le cas de Not/petya (et autre homonymes) démontre effectivement la tendance forte du malware et de ses transformations. Il présageait déjà un modèle qui se cherchait sur comment forcer la victime à payer ou à souffrir. Mais le principal enseignement est en réalité Ailleurs. Dans le vecteur de propagation initial de la menace. Celui-ci bien loin des expositions publiques du protocole SMB (protocole propriétaire Microsoft servant entre autre au partage de fichiers). En effet la toute première propagation se réalise au travers des mises à jours d’un logiciel de comptabilité ukrainien nommé MEDoc.
Les serveurs de cet éditeur ont été préalablement piratés et maintenus sous contrôle discret pour ne pas attirer les regards des équipes de sécurité. Les pirates ont attendu patiemment l’occasion rêvée pour propager un nouveau malware. Même si les soupçons se sont porté sur la volonté de nuire localement à l’Ukraine.
La Technique est alors toute nouvelle et démontre un degré de sophistication et de patience auquel nous sommes peu habitués. Et cet effet de surprise a suffit à immobiliser nombre d’entreprises françaises.
2020 – SolarBurst
Plus récemment un problème de plus grande envergure a été mis en évidence avec le piratage de l’éditeur de solution de cybersécurité Fireeye en décembre 2020. Ce piratage a permis de mettre en lumière des activités au sein de services critiques. Leur point d’origine aurait alors été une porte dérobée (Backdoor). Celle-ci était intégrée à un logiciel de supervision des équipements réseaux bien connus du marché, à savoir Orion de l’éditeur SolarWinds.
Le problème, c’est que comme le démontre fièrement l’éditeur sur son site publique, ce logiciel est exploité par bon nombre de clients dont des entreprises ou administrations prestigieuses. Réussir à corrompre celui-ci a demandé patience et technicité. Tout cela dans le seul espoir qu’à terme les portes s’ouvrent sur des cibles potentielles. Le groupement de pirate n’avait alors qu’à définir si cette cible était dans ses objectifs ou à revendre l’accès à un groupement partenaire.
The biggest names on this list include the likes of Cisco, SAP, Intel, Cox Communications, Deloitte, Nvidia, Fujitsu, Belkin, Amerisafe, Lukoil, Rakuten, Check Point, Optimizely, Digital Reach, and Digital Sense.
Nous pouvons comprendre que les piratages ne sont plus seulement l’œuvre de groupes isolés qui se structurent, s’industrialisent et se professionnalisent. Cela fait des années que nous savons que le marché souterrain crée de véritables connexions opportunistes. Sauf que jusqu’ici, majoritaires sont ceux qui ont pensé ne pas être « dignes » d’une attaque ciblée.
2021 – Frappes en séries
Le 20 Janvier 2021, une entreprise de sécurité retrouve les fichiers volés de l’Agence Européenne du Médicament (EMA) sur un site de l’internet profond. L’objectif était visiblement d’entretenir le climat complotiste pour déstabiliser la confiance en les politiques vaccinales. Cela illustre totalement la notion d »Hacktivisme », terme construit autour de l’agrégation des mots « Hacking » (piratage en Anglais) et « Activisme ».
En pleine pandémie mondiale, mais surtout en plein regain épidémique européen, l’hôpital de Dax est paralysé. Si l’attaque semble à première vue « basique » en raison de l’usage d’un simple Ransomware… L’impact a été majeur voir total au point de figer toute la capacité d’intervention chirurgicale. Ce pour une raison simple. Le système automatisé de ventilation et de désinfection des blocs opératoires est devenu inopérant. Ce dernier se synchronisait avec le serveur d’entreprise de gestion des ressources (ERP). Effet de cascade bien connu et craint tant par les industriels que par les prestataires de services…
L’affaire s’est étendue sur les ondes des médias principaux (mainstream). Les gouvernements se sont emparés du sujet, le président Macron confirme en février un plan d’un milliard d’euros pour renforcer la cybersécurité. Preuve s’il en faut d’une vraie prise de conscience globale qui s’opère sur la réalité de la cybercriminalité d’aujourd’hui.
Ce que l’on peut retenir …
Devant ces avalanches d’articles, d’annonces et de débauches de moyens, il est légitime de s’interroger. Que pouvons-nous faire ? Un aveu d’echec de nos politiques et investissements défensifs ? Sombrer dans un pessimisme numérique ? Décroître et prendre le risque de perdre de formidables opportunités de développement ?
Nous pensons qu’il est au contraire temps de se reposer des questions profondes sur notre manière de « consommer de la cybersécurité ». Rationnaliser, optimiser, recentrer le sujet autour d’un pilotage intelligent et pragmatique des risques profonds.
Ne restez pas seuls face aux nouveaux défis !
Nous devons tirer enseignement d’un silotage trop profond de nos organisations diluant les responsabilités et éloignant les enjeux de ceux qui en défendent la valeur. Nous ne devons pas rejeter les modèles et paradigmes précédents, mais assimiler leurs limites pour les dépasser. Utiliser les outils selon un véritable attendu sécuritaire défini. Il est temps de se rencontrer, de se donner la parole et d’explorer vos sujets.
Nos forces dans nos collaborations, nos ressources dans nos réseaux, nos nutriments dans nos racines.
Références
- https://www.leparisien.fr/high-tech/cyberattaque-mondiale-pourquoi-notpetya-est-redoutable-28-06-2017-7094535.php
- https://www.liberation.fr/futurs/2017/06/28/notpetya-le-logiciel-ranconneur-a-propagations-multiples_1580043/
- https://www.youtube.com/watch?v=RpvqEmNhRE4
- https://www.lemondeinformatique.fr/actualites/lire-6-questions-sur-le-cyber-detournement-de-solarwinds-orion-81354.html
- https://www.lemagit.fr/actualites/252495113/SolarWinds-ce-que-lon-sait-des-attaques-a-ce-jour
- https://www.lemondeinformatique.fr/actualites/lire-agence-europeenne-du-medicament-piratee-quel-impact-pour-pfizer-81315.html
- https://www.lemonde.fr/pixels/article/2021/03/09/un-hopital-des-pyrenees-atlantiques-vise-a-son-tour-par-une-cyberattaque_6072505_4408996.html