L'année 2018 sera (encore) celle du risque numérique

Date de publication : 26/01/2018  |  David Kapp

Source : Pixabay, Creative Common
Source : Pixabay, Creative Common

Réunis jeudi 18 janvier 2018, une semaine avant la tenue du Forum international de la cybersécurité de Lille, les membres du Clusif ont présenté leur panorama annuel de la cybercriminalité. Si les menaces évoluent et changent sans cesse, leurs fréquences augmentent en dépassant, avec des vers comme Petya et WannaCry, la sphère des spécialistes. Quant à leurs effets, ils sont toujours aussi difficiles à apprécier.

Résumer une année cyber comme celle de 2017 est loin d'être facile : les attaques Petya, NotPetya, WannaCry ou encore EternelBlue, à force d'être invoquées, ont perdu leur pouvoir d'évocation.

Mais elles ont été salutaires. Car elles ont permis une véritable prise de conscience des vulnérabilités liées au numérique.

Au moment où la plupart des entreprises sont engagées dans une véritable course à la transformation numérique, ces rappels montrent la fragilité de tous les systèmes reposant sur les ordinateurs.

Si bien qu'à l'exercice de la synthèse, les membres du Clusif évitent soigneusement la métonymie - cette figure de style qui consiste à prendre la partie (les attaques populaires) pour le tout (la cybercriminalité).

Et à travers leurs différentes interventions, c'est donc un panorama nuancé et complexe, témoin d'un sujet qui l'est tout autant.

Voici les principaux points qui ont retenu notre attention.

La géopolitique n'est jamais loin

2017, année d'élection, année politique. Avec la campagne américaine et les interférences russes, hier redoutées, aujourd’hui fortement suspectées, la campagne électorale française était menacée.

Les incidents n'ont pas manqué, piratage du parti En Marche du candidat Emmanuel Macron, mise en ligne ou révélation de faux documents... Des incidents qui sont toujours entre les mains de la Justice.

Accueillant Vladimir Poutine en mai 2017 à Versailles, le Président français avait rappelé que les médias russes ne s'étaient pas comportés comme tels pendant la campagne.

Emmanuel Macron avait ainsi évoqué les interférences dans la campagne électorale, ce que son homologue avait réfuté.

On notera au passage que la fuite d'un rapport de la CIA, révélé par Intercept en juin 2017 a conduit à une autre fuite tout aussi intéressante.

Dans la journée qui a suivi la révélation, une employée de la CIA a été arrêtée et mise en examen. Elle aurait été retrouvée par des codes à peine perceptibles qui sont ajoutés aux impressions et qui permettent d'identifier a posteriori la machine ayant effectuée la tâche. 

Des failles anciennes découvertes récemment

Autre originalité de l'année : alors que la réponse aux incidents ne cesse de se complexifier avec toujours plus de machine learning, des nouvelles failles sont découvertes.

Ainsi iOS d'Apple permettait l'accès au mode administrateur après deux essais d'accès sans mot de passe !

Et aussi chez des constructeurs comme HP avec un petit logiciel d'enregistrement des frappes, un keylogger, réservé pour la maintenance mais qui laissait fuiter de l'information, ou encore Krack, une vulnérabilité découverte sur le niveau de chiffrement WPA2 des Wifi (le plus courant et réputé le plus sûr).

Le meilleur vient avec la fin, mais c'est déjà anticiper sur l'année 2018 avec Meltdown et Spectre, des vulnérabilités qui concernent tous les matériels (tous ceux fabriqués depuis 1995 et contenant une puce Intel !).

Ces failles sont difficilement corrigeables puisqu'elles touchent à l'essence même du produit, la manière dont les pièces physiques sont assemblées !

À ce sujet Intel, premier concerné, conseillait le 23 janvier de ne pas installer ses correctifs. Comme dans d'autres vulnérabilités (mise à jour d'iOS par exemple), le correctif, bouclé dans l'urgence, se révèle parfois plus dangereux que la faille initiale !

Les objets connectés détournés

Wannacry visait à détourner des objets connectés, en l’occurrence de nombreuses caméras, pour qu'ils établissent des requêtes sur des sites Internet.

L'idée était de submerger ces sites pour les paralyser. Une attaque en déni de service, DDoS, assez classique, mais dont l'originalité tenait dans les outils utilisés : des caméras aux login/mot de passe inexistants ou très simples.

Avec le ver Non-Petya, l'idée n'était pas de submerger mais de détruire des équipements ou des serveurs.

Une destruction qui était également le but de l'attaque plus ancienne contre TV5.

Là encore la géopolitique n'est sans doute pas loin car c'est d'abord en Ukraine que le ver fait des ravages avant de se propager dans les entreprises qui disposent de lien avec ce pays.

C'est ainsi que Saint-Gobain a été particulièrement touché avec près de 250 M€ de pertes.

Des serrures fermées ou ouvertes

Les caméras ne sont pas les seuls objets connectés (IoT) touchant la sécurité et qui se trouvent détournés.

Les serrures sont bien placées : serrures recommandées par Amazon ou Airbnb pour piloter l'arrivée du livreur ou d'un nouveau locataire, sont porteuses de plusieurs vulnérabilités.

Plusieurs incidents sont reportés dont la palme de la malveillance revient à ce développeur mécontent de la critique d'un client sur Amazon et qui décide de désactiver à distance l'objet empêchant son propriétaire d'accéder à son garage !

L'interconnexion peut aussi jouer des tours

L'arrivée d'assistants virtuels (Amazon Echo, Google Home, et le prochain HomePod), qui littéralement écoutent leur propriétaire, réservent quelques surprises.

Quelques vulnérabilités sont déjà découvertes. Ainsi les propriétaires de maisons qui ont interconnecté leur assistant et leur serrure, découvrent que celle-ci s'ouvre à la voix !

Des véhicules volés sans effraction

Plus subtil mais tout aussi redoutable, le vol de véhicule sans effraction comme le montre la vidéo ci-dessous relayée par les policiers britaniques de West Midlands.

Dans cette vidéo, les voleurs récupèrent simplement le signal émis par la clé et l'amplifie. Il crée ainsi l'illusion que le propriétaire se trouve à côté du véhicule et ils peuvent ainsi démarrer et partir avec le véhicule.