Cybersécurité : les attaques à la lumière des retours d’expérience

La digitalisation et le développement d’Internet attirent un nombre important de cybercriminels. Les techniques qu’ils emploient se multiplient et les attaques ciblent les organisations et les entreprises de toute taille. Cet article, publié dans le numéro 536 de Face au Risque (daté d’octobre 2017) reste encore d’actualité aujourd’hui. État des lieux avec exemples à l’appui.

Si les principales cibles des cybercriminels étaient les grandes entreprises, administrations et États, les pirates se tournent désormais vers des objectifs plus modestes, aux défenses moins impénétrables : les PME et PMI, qui ne disposent pas des mêmes moyens que les grands groupes. Elles pouvaient être autrefois des victimes collatérales par effet de masse. Les voici maintenant en première ligne.

Ingénierie sociale

Parmi les techniques employées par les cybercriminels, on retrouve l’ingénierie sociale. Elle consiste bien souvent à usurper l’identité d’un tiers connu de la cible. Pour y parvenir, le cybercriminel aura effectué un travail d’investigation afin de connaître l’organisation de l’entreprise, les noms et postes de chaque collaborateur, les banques, le nom des fournisseurs… La masse d’informations personnelles et professionnelles publiées sur les réseaux sociaux par les collaborateurs constitue une base de connaissance suffisante pour construire un profil précis de l’utilisateur.

La fraude en elle-même s’effectue via des collaborateurs convaincus. Dans le cas de l’escroquerie dite « fraude au président », les criminels parviennent à faire effectuer un ordre de virement en leur faveur. En août 2017, une entreprise de l’Yonne a été victime de ce type d’escroquerie et deux autres tentatives ont été enregistrées.

La faiblesse des employés

Les salariés sont les premières cibles de ces attaques et constituent l’un des maillons faibles de la chaîne de sécurité. Cela s’avère être également le cas dans la fuite de données, qu’elle soit involontaire ou non.

La fuite de données peut s’effectuer par des pratiques courantes et anodines en apparence. C’est le cas du « Shadow IT » : de nombreux utilisateurs téléchargent des logiciels sans avoir averti au préalable le service informatique. De même, les collaborateurs en situation de mobilité peuvent stocker des informations confidentielles sur une clé USB ou sur leur ordinateur personnel (Byod – Bring Your Own Device). Lorsque la direction des systèmes d’information fournit un outil, celui-ci n’est parfois pas aussi performant que l’utilisateur le voudrait.

Par ailleurs, la démarche pour l’obtenir est généralement longue et compliquée. Les employés ayant recours au Shadow IT ou au Byod sont soumis à certaines contraintes (délais, rentabilité, agilité) qui ne leur permettent pas d’attendre le retour du service informatique.

Ces pratiques sont dangereuses puisque les données peuvent être amenées à transiter en dehors de la société. Parce que la sensibilisation ne pourra pas totalement changer les comportements, les entreprises doivent installer une solution de DLP (Data Loss Prevention). Elles réalisent un audit afin de détecter les comportements à risque et empêchent ainsi la fuite de données.

Les objets connectés ou IoT

De plus en plus répandus, les objets connectés en entreprise sont une source de vulnérabilités et de fuite de données. Les particuliers sont autant ciblés que les professionnels. Par ailleurs, les objets connectés (IoT – Internet of Things) des particuliers peuvent être piratés dans le but d’infecter une entreprise. Ils sont de plus en plus utilisés par les cybercriminels pour former des réseaux de botnet (larges réseaux d’ordinateurs infectés par un même virus).

En septembre 2016, l’hébergeur OVH est victime d’une attaque DDoS (par déni de service). Près de 145 000 objets connectés sont pilotés à l’insu de leurs utilisateurs par un serveur botnet. Cette attaque massive sature les serveurs de l’hébergeur et perturbe la distribution des services auprès de ses clients. Quelques semaines plus tard, c’est au tour des serveurs DNS de Dyn, acteur stratégique de l’Internet aux États-Unis, d’être ciblés. Des millions de caméras de sécurité, routeurs et autres objets connectés deviennent le vecteur d’attaque (réseau botnet) d’un serveur central.

Même si l’utilisateur doit rester vigilant quant à l’utilisation de ces IoT, il n’en reste pas moins que la responsabilité du constructeur peut être engagée. Bien que certaines normes existent, aucune loi n’oblige les constructeurs à mettre en place des mesures de sécurité sur les IoT. Implémenter des mécanismes de sécurité dans ces appareils est long, coûteux et compliqué. Or, les constructeurs veulent rentabiliser rapidement la commercialisation de leurs objets connectés.

Les IoT sont de plus en plus utilisés par les industriels. La répétition de ces attaques oblige les entreprises à redoubler de vigilance puisque le risque de détérioration d’outils de production (capteur de température faussé par exemple) existe. Au-delà de cette menace, les automates industriels (Scada – système d’acquisition et de contrôle de données) sont des sites sensibles de plus en plus ciblés. En voici quelques exemples.

Panne monstre en Ukraine

En décembre 2016, le groupe de cybercriminels BlackEnergy provoque une importante panne d’électricité en Ukraine. Quelques mois plus tard, en juin 2017, Eset, premier éditeur européen de solutions de sécurité informatique, découvre Industroyer, un malware capable de couper l’alimentation électrique d’une infrastructure de fournisseur d’énergie (ce malware serait probablement impliqué dans l’attaque de BlackEnergy).

Industroyer prend le contrôle d’interrupteurs et de disjoncteurs électriques (ABB et Siemens) et persiste dans le système, ce qui en fait l’une des menaces les plus dangereuses pour les systèmes de contrôle industriels. Depuis Stuxnet, qui a attaqué avec succès le programme nucléaire iranien en 2010, aucun autre malware n’était arrivé à ce niveau technique.

Dans le Dark Net

Les moyens mis à disposition des cybercriminels leur offrent une grande latitude à la fois dans le choix des outils et dans celui des victimes. Le profil des cyberattaquants devient hybride, notamment à cause de la facilité avec laquelle on peut se fournir une cyberarme. Le Dark Net – la face cachée d’Internet – est le lieu où les offreurs rencontrent ceux qui veulent acheter des biens ou services illégaux, dont la monnaie principale est le Bitcoin.

L’underground français reste relativement modeste avec près de 450 000 cybercriminels toutes compétences confondues. Selon plusieurs experts, dont ceux d’Europol et de la Gendarmerie nationale, l’ensemble de ces transactions générerait entre 5 et 12 millions d’euros chaque mois en France.

Selon la Police et la Gendarmerie, les offres underground sont très structurées au plan tarifaire. Le Dark Net offre quantité de services et produits illégaux : des clés passepartout, de faux diplômes, des numéros de carte de crédit, de la drogue ou des armes… Mais aussi des trafics d’organes, une notice pour réaliser un attentat, des fichiers pédopornographiques et, ce qui nous intéresse ici, toute sorte de malwares : des ransomwares prêts à l’emploi, des RAT (outils de prise de contrôle à distance), des services botnet, tout comme des RoT1. Des modèles sont déjà proposés sur les places de marché underground.

Ransomwares : WannaCry et Petya

L’un des plus gros fléaux ces deux dernières années est l’attaque par ransomware. Les données de l’entreprise sont chiffrées et ne peuvent être rendues qu’après le paiement d’une rançon. Cependant, il arrive fréquemment que les données ne soient jamais restituées à son propriétaire.

En 2017, deux attaques majeures sont à retenir. La première a eu lieu en mai 2017. Le ransomware WannaCry s’est propagé en exploitant une vulnérabilité Microsoft Windows dans des ordinateurs non mis à jour. On dénombre alors plus de 200 000 victimes à travers 150 pays et des milliers de dollars récoltés. Un mois après, c’est au tour du ransomware Diskoder.C (Petya) de se diffuser via une mise à jour compromise d’un logiciel de comptabilité. La note s’avère salée pour certaines entreprises. Pour exemple, la société de transport Maersk annonce 300 milliards de dollars de perte de revenus à cause de ce ransomware !

L’infection par ransomware se diffuse généralement à cause d’une faille, comme ce fut le cas pour ces deux exemples. L’application des mises à jour du système d’exploitation et des logiciels reste une décision qui doit être prise suite à la réalisation de l’analyse de risque.

Bien souvent, la direction des systèmes d’information (DSI) estime que le risque de faire face à une menace serait bien moins coûteux pour l’entreprise que d’apporter un correctif aux logiciels. Dans ce cas, des mesures préalables de sauvegarde et de restauration sont mises en place. D’autres raisons empêchent également l’application de mises à jour qui peut par exemple perturber des services vitaux. Les systèmes Scada sont d’ailleurs très sensibles à ces changements pouvant causer des problèmes d’indisponibilité.

(1) Ransomware of Things : possibilité pour les cybercriminels de détourner des objets connectés et de demander un paiement de rançon pour que l’utilisateur puisse à nouveau avoir le contrôle de son IoT.